Sentinel Rapid Deployment es compatible tanto con la autenticación LDAP como con la autenticación de la base de datos. Puede permitir que los usuarios entren en Sentinel Rapid Deployment con sus credenciales de Novell eDirectory o de Microsoft Active Directory configurado un servidor de Sentinel Rapid Deployment para la autenticación LDAP.
Sección 3.7.3, Configuración del servidor de Sentinel para la autenticación LDAP
Sección 3.7.4, Configuración de varios servidores LDAP para failover
Sección 3.7.5, Configuración de la autenticación LDAP para varios dominios de Active Directory
Sección 3.7.6, Entrada mediante las credenciales de usuario LDAP
Puede configurar el servidor de Sentinel Rapid Deployment para la autenticación LDAP en una conexión SSL segura. En el directorio LDAP se pueden usar búsquedas anónimas, o no.
NOTA:si las búsquedas anónimas están inhabilitadas en el directorio LDAP, no debe configurar el servidor de Sentinel Rapid Deployment para que las use.
Búsqueda anónima: cuando cree las cuentas de usuario LDAP de Sentinel Rapid Deployment, debe especificar el nombre de usuario del directorio, pero no es necesario indicar el nombre completo (DN) del usuario.
Si el usuario de LDAP entra en Sentinel Rapid Deployment, el servidor de Sentinel Rapid Deployment realiza una búsqueda anónima en el directorio LDAP según el nombre de usuario especificado, busca el DN correspondiente y autentica los datos del usuario con el directorio LDAP mediante el DN.
Búsqueda no anónima: cuando cree las cuentas de usuario LDAP de Sentinel Rapid Deployment, debe especificar tanto el nombre de usuario del directorio como el nombre completo (DN) del usuario.
Cuando el usuario de LDAP entra en Sentinel Rapid Deployment, el servidor de Sentinel Rapid Deployment autentica los datos del usuario con el directorio LDAP mediante el DN de usuario especificado y no realiza ninguna búsqueda anónima en el directorio LDAP.
Existe un método adicional sólo aplicable en el caso de Active Directory. Para obtener más información, consulte la Autenticación LDAP no anónima mediante el atributo UserPrincipalName en Active Directory.
La conexión SSL segura con el servidor LDAP requiere el certificado de CA del servidor LDAP, que debe exportar a un archivo codificado en base64.
eDirectory: consulte Exporting an Organizational CA's Self-Signed Certificate (Exportación del certificado autofirmado de CA de una organización).
Para exportar un certificado de CA de eDirectory a iManager, los módulos auxiliares (plug-ins) del servidor de certificados de Novell para iManager deben estar instalados.
Active Directory: consulte How to enable LDAP over SSL with a third-party certification authority (Habilitación de LDAP en SSL con una autoridad certificadora de otro fabricante).
Para realizar la autenticación LDAP utilizando la búsqueda anónima, se deben habilitar éstas en el directorio LDAP. La búsqueda anónima está habilitada por defecto en eDirectory e inhabilitada en Active Directory.
Para habilitar la búsqueda anónima en el directorio LDAP, consulte lo siguiente:
eDirectory: consulte el apartado ldapBindRestrictions en la sección Attributes on the LDAP Server Object (Atributos del objeto de servidor LDAP).
Active Directory: el objeto de usuario ANONYMOUS LOGON debe recibir los permisos de lista y los acceso de lectura apropiados para los atributos sAMAccountName y objectclass. Para obtener más información, consulte Configuring Active Directory to Allow Anonymous Queries (Configuración de Active Directory para permitir las consultas anónimas).
En Windows Server 2003 hay que realizar una configuración adicional. Para obtener más información, consulte Configuring Active Directory on Windows Server 2003 (Configuración de Active Directory en Windows Server 2003).
Asegúrese de que cumple los requisitos previos descritos en la Sección 3.7.2, Requisitos previos.
Entre al servidor de Sentinel Rapid Deployment como usuario root.
Copie el archivo de certificado de CA del servidor LDAP exportado a <directorio_instalación>/config.
Defina la propiedad y los permisos del archivo de certificado de la siguiente forma:
chown novell:novell <directorio_instalación>/config/<archivo-certificado>
chmod 700 <directorio_instalación>/config/<archivo-certificado>
Cambie al usuario novell:
su - novell
Cambie al directorio <directorio_instalación>/bin.
Ejecute el guion de configuración de la autenticación LDAP:
./ldap_auth_config.sh
El guion realiza una copia de seguridad de los archivos de configuración auth.login y configuration.xml en el directorio config como auth.login.sav y configuration.xml.sav antes de modificarlos para la autenticación LDAP.
Especifique la siguiente información:
Pulse Intro para aceptar el valor por defecto o especifique un valor nuevo para anularlo.
Ubicación de instalación de Sentinel: el directorio de instalación en el servidor de Sentinel.
Nombre de host o dirección IP del servidor LDAP: el nombre del host o la dirección IP del equipo donde está instalado el servidor LDAP. El valor por defecto es localhost. Sin embargo, no debería instalar el servidor LDAP en el mismo equipo que el servidor de Sentinel
Puerto del servidor LDAP: el número de puerto de una conexión LDAP segura. El número de puerto por defecto es 636.
Búsquedas anónimas en el directorio LDAP: especifique y (sí) para realizar búsquedas anónimas. Si no desea hacerlo, indique n. El valor por defecto es y.
Si especifica n, complete la configuración de LDAP y lleve a cabo los pasos mencionados en la sección Autenticación LDAP sin realizar búsquedas anónimas.
Directorio LDAP usado: este parámetro sólo se muestra si ha especificado la opción afirmativa (y) para las búsquedas anónimas. Indique 1 para Novell eDirectory o 2 para Active Directory. El valor por defecto es 1.
Subárbol LDAP para buscar usuarios: este parámetro sólo se muestra si ha especificado la opción afirmativa (y) para las búsquedas anónimas. Es el subárbol del directorio que contiene los objetos de usuario. A continuación se muestran algunos ejemplos para indicar el subárbol en eDirectory y Active Directory:
eDirectory:
ou=users,o=novell
NOTA:en el caso de eDirectory, si no se especifica ningún subárbol, la búsqueda se realiza en todo el directorio.
Active Directory:
CN=users,DC=TESTAD,DC=provo, DC=novell,DC=com
NOTA:en el caso de Active Directory, el subárbol no puede dejarse vacío.
Nombre de archivo del certificado del servidor LDAP: el nombre de archivo del certificado de CA de eDirectory o Active Directory que ha copiado en el Paso 3.
Introduzca uno de estos comandos:
y para aceptar los valores introducidos.
n para introducir valores nuevos.
q para salir de la configuración.
Si la configuración es correcta:
El certificado del servidor LDAP se añade a un almacén de claves denominado <directorio_instalación>/config/ldap_server.keystore.
Los archivos de configuración auth.login y configuration.xml de <directorio_instalación>/config se actualizan para habilitar la autenticación LDAP.
Indique y (sí) para reiniciar el servicio Sentinel.
IMPORTANTE:si se produce algún error, revierta los cambios realizados a los archivos de configuración auth.login y configuration.xml del directorio config:
cp -p auth.login.sav auth.login cp -p configuration.xml.sav configuration.xml
(Condicional) Si ha especificado n para Búsquedas anónimas en el directorio LDAP:, continúe en Autenticación LDAP sin realizar búsquedas anónimas.
Al configurar Sentinel Rapid Deployment para la autenticación LDAP, si ha especificado la opción negativa (n) para las búsquedas anónimas en el directorio LDAP, la autenticación LDAP no realiza búsquedas anónimas.
Si crea la cuenta de usuario LDAP mediante el Centro de control de Sentinel, asegúrese de especificar para la autenticación LDAP no anónima. Puede usar este enfoque tanto para eDirectory como para Active Directory.
Para obtener más información, consulte Creating an LDAP User Account for Sentinel
(Creación de una cuenta de usuario LDAP para Sentinel) en la Sentinel Rapid Deployment User Guide (Guía del usuario de Sentinel Rapid Deployment).
Asimismo, en el caso de Active Directory existe un enfoque alternativo para realizar la autenticación LDAP sin búsquedas anónimas. Para obtener más información, consulte la Autenticación LDAP no anónima mediante el atributo UserPrincipalName en Active Directory.
En el caso de Active Directory también es posible realizar la autenticación LDAP sin búsquedas anónimas mediante el atributo userPrinicipalName:
Asegúrese de que el atributo userPrinicipalName está definido como <sAMNombreCuenta@dominio> para el usuario de Active Directory.
Para obtener más información, consulte User-Principal-Name Attribute (Atributo User-Principal-Name).
Asegúrese de haber realizado del Paso 1 al Paso 10 y de que ha respondido negativamente (n) en Búsquedas anónimas en el directorio LDAP:.
En el servidor de Sentinel, edite la sección LdapLogin del archivo <directorio_instalación>/config/auth.login:
LdapLogin {
com.sun.security.auth.module.LdapLoginModule required
userProvider="ldap://LDAP server IP:636/DN of the Container that contains the user objects"
authIdentity="{USERNAME}@Domain Name"
userFilter="(&(sAMAccountName={USERNAME})(objectclass=user))"
useSSL=true;
};
Por ejemplo:
LdapLogin {
com.sun.security.auth.module.LdapLoginModule required
userProvider="ldap://137.65.151.12:636/DC=Test-AD,DC=provo,DC=novell,DC=com"
authIdentity="{USERNAME}@Test-AD.provo.novell.com"
userFilter="(&(sAMAccountName={USERNAME})(objectclass=user))"
useSSL=true;
};
Reinicie el servicio Sentinel:
/etc/init.d/sentinel stop
/etc/init.d/sentinel start
Para configurar uno o varios servidores LDAP como servidores de failover (relevo de funciones multinodo) para la autenticación LDAP:
Asegúrese de haber seguido del Paso 2 al Paso 10 para configurar el servidor de Sentinel para la autenticación LDAP en el servidor LDAP primario.
Entre en el servidor de Sentinel como el usuario novell.
Detenga el servicio de Sentinel.
/etc/init.d/sentinel stop
Cambie al directorio <directorio_instalación>/config.
cd <install_directory>/config
Abra el archivo auth.login para editarlo.
vi auth.login
Actualice el userProvider (proveedor del usuario) en la sección LdapLogin para especificar varias URL de LDAP. Separe cada URL con un espacio en blanco.
Por ejemplo:
userProvider="ldap://ldap-url1 ldap://ldap-url2"
En Active Directory, asegúrese de que el subárbol de la URL de LDAP no está vacío.
Para obtener más información sobre cómo especificar varias URL de LDAP, consulte la descripción de la opción userProvider en Class LdapLogin Module (Módulo LdapLogin de clase).
Guarde los cambios.
Exporte el certificado de cada servidor LDAP de failover y copie el archivo de certificado en <directorio_instalación>/config en el servidor de Sentinel.
Para obtener más información, consulte Exportación del certificado de CA del servidor LDAP.
Asegúrese de definir la propiedad y los permisos necesarios del archivo de certificado de cada servidor LDAP de failover.
chown novell:novell <install_directory>/config/<cert-file>
chmod 700 <install_directory>/config/<cert-file>
Añada los certificados de servidor LDAP de failover al almacén de claves ldap_server.keystore creado en el Paso 8 de la sección Configuración del servidor de Sentinel para la autenticación LDAP.
<install_directory>/jre64/bin/keytool -importcert -noprompt -trustcacerts -file <certificate-file> -alias <alias_name> -keystore ldap_server.keystore -storepass sentinel
Sustituya <certificate-file> por el nombre del archivo de certificado LDAP en formato con código base64 y <alias_name> por el nombre del alias del certificado que se va a importar.
IMPORTANTE:asegúrese de especificar el alias. Si no se especifica ningún alias, la herramienta de claves toma mykey como alias por defecto. Si importa varios certificados en el almacén de claves sin especificar ningún alias, la herramienta de claves muestra un error que indica que el alias ya existe.
Inicie el servicio de Sentinel.
/etc/init.d/sentinel start
Puede que el servicio no esté conectado al servidor LDAP de failover si el servidor de Sentinel supera el tiempo límite antes de descubrir que el servidor LDAP está apagado. Para garantizar que el servidor de Sentinel se conecta con el servidor LDAP de failover sin que se supere el tiempo límite:
Entre al servidor de Sentinel como usuario root.
Abra el archivo sysct1.conf para editarlo:
vi /etc/sysctl.conf
Asegúrese de que el valor de net.ipv4.tcp_syn_retries es 3. Si la entrada no existe, añádala. Guarde el archivo:
net.ipv4.tcp_syn_retries = 3
Ejecute el comando para que los cambios surtan efecto:
/sbin/sysctl -p
/sbin/sysctl -w net.ipv4.route.flush=1
Defina el valor de tiempo límite del servidor de Sentinel añadiendo el parámetro -Desecurity.remote.timeout=60 a control_center.sh y solution_designer.sh en <directorio_instalación>/bin:
control_center.sh:
"<install_directory>/jre/bin/java" $MEMORY -Dcom.esecurity.configurationfile=$ESEC_CONF_FILE -Desecurity.cache.directory="<install_directory>/data/control_center.cache" -Desecurity.communication.service="sentinel_client" -Dfile.encoding=UTF8 -Desecurity.dataobjects.config.file="/xml/BaseMetaData.xml,/xml/WorkflowMetaData.xml,/xml/ActMetaData.xml" -Djava.util.logging.config.file="<install_directory>/config/control_center_log.prop" -Djava.security.auth.login.config="<install_directory>/config/auth.login" $SENTINEL_LANG_PROP $SENTINEL_CTRY_PROP -Dice.pilots.html4.baseFontFamily="Arial Unicode MS" -Desecurity.remote.timeout=60 -jar ../lib/console.jar
solution_designer.sh:
"<install_directory>/jre/bin/java" -classpath $LOCAL_CLASSPATH $MEMORY -Dcom.esecurity.configurationfile="$ESEC_CONF_FILE" -Dsentinel.installer.jar.location="<install_directory>/lib/contentinstaller.jar" -Desecurity.communication.service="sentinel_client" -Dfile.encoding=UTF8 -Desecurity.dataobjects.config.file="/xml/BaseMetaData.xml,/xml/WorkflowMetaData.xml,/xml/ActMetaData.xml" -Djava.util.logging.config.file="<install_directory>/config/solution_designer_log.prop" -Djava.security.auth.login.config="<install_directory>/config/auth.login" $SENTINEL_LANG_PROP $SENTINEL_CTRY_PROP -Desecurity.cache.directory=../data/solution_designer.cache -Desecurity.remote.timeout=60 com.esecurity.content.exportUI.ContentPackBuilder
Si los usuarios de LDAP que se van a autenticar se encuentran en varios dominios de Active Directory, es posible configurar el servidor de Sentinel Rapid Deployment para la autenticación LDAP de la siguiente forma:
Asegúrese de haber realizado del Paso 2 al Paso 10 para configurar el servidor de Sentinel para la autenticación LDAP con el controlador de dominios de Active Directory del primer dominio. Asegúrese también de haber especificado n para Búsquedas anónimas en el directorio LDAP:.
Entre en el servidor de Sentinel como el usuario novell.
Detenga el servicio de Sentinel.
/etc/init.d/sentinel stop
Cambie al directorio <directorio_instalación>/config.
cd <install_directory>/config
Abra el archivo auth.login para editarlo.
vi auth.login
Edite la sección LdapLogin e indique varias URL de LDAP separadas por un espacio en blanco.
Por ejemplo:
LdapLogin {
com.sun.security.auth.module.LdapLoginModule required
userProvider="ldap://<IP of the domain 1 domain controller>:636 ldap://<IP of the domain 2 domain controller>:636"
authIdentity="{USERNAME}"
useSSL=true;
};
Para obtener más información sobre cómo especificar varias URL de LDAP, consulte la descripción de la opción userProvider en Class LdapLogin Module (Módulo LdapLogin de clase).
Guarde los cambios.
Exporte el certificado del controlador de dominios de cada dominio y copie los archivos de certificado en el directorio <directorio_de_instalación>/config del servidor de Sentinel.
Para obtener más información, consulte Exportación del certificado de CA del servidor LDAP.
Asegúrese de definir la propiedad y los permisos necesarios de los archivos de certificado.
chown novell:novell <install_directory>/config/<cert-file>
chmod 700 <install_directory>/config/<cert-file>
Añada cada certificado al almacén de claves ldap_server.keystore creado en el Paso 8 de la sección Configuración del servidor de Sentinel para la autenticación LDAP.
<install_directory>/jre64/bin/keytool -importcert -noprompt -trustcacerts -file <certificate-file> -alias <alias_name> -keystore ldap_server.keystore -storepass sentinel
Sustituya <certificate-file> por el nombre del archivo de certificado LDAP en formato con código base64 y <alias_name> por el nombre del alias del certificado que se va a importar.
IMPORTANTE:asegúrese de especificar el alias. Si no se especifica ningún alias, la herramienta de claves toma mykey como alias por defecto. Si importa varios certificados en el almacén de claves sin especificar ningún alias, la herramienta de claves muestra un error que indica que el alias ya existe.
Inicie el servicio de Sentinel.
/etc/init.d/sentinel start
Después de configurar correctamente el servidor de Sentinel para la autenticación LDAP, puede crear cuentas de usuario LDAP de Sentinel en el Centro de control de Sentinel. Para obtener más información sobre la creación de cuentas de usuario LDAP, consulte Creating an LDAP User Account for Sentinel
(Creación de una cuenta de usuario LDAP para Sentinel) en la Sentinel Rapid Deployment User Guide (Guía del usuario de Sentinel Rapid Deployment).
Después de crear la cuenta de usuario LDAP, puede entrar a la interfaz Web de Sentinel Rapid Deployment, al Centro de control de Sentinel y a Solution Designer de Sentinel con el nombre de usuario y la contraseña LDAP.
NOTA:para modificar una configuración de LDAP existente, vuelva a ejecutar el guion ldap_auth_config y especifique los valores nuevos de los parámetros.