O Sentinel Rapid Deployment suporta a autenticação LDAP além da autenticação de banco de dados. É possível habilitar os usuários a efetuarem login no Sentinel Rapid Deployment usando suas credenciais do Novell eDirectory ou do Microsoft Active Directory por meio da configuração de um servidor Sentinel Rapid Deployment para autenticação LDAP.
É possível configurar o servidor Sentinel Rapid Deployment para autenticação LDAP por uma conexão SSL segura, usando ou não pesquisas anônimas no diretório LDAP.
NOTA:Se a pesquisa anônima estiver desabilitada no diretório LDAP, não configure o servidor Sentinel Rapid Deployment para utilizar pesquisa anônima.
Pesquisa Anônima: Ao criar contas de usuário LDAP do Sentinel Rapid Deployment, você deve especificar o nome de usuário do diretório, mas não precisa especificar o nome exclusivo (DN) do usuário.
Quando o usuário LDAP efetua login no Sentinel Rapid Deployment, o servidor Sentinel Rapid Deployment realiza uma pesquisa anônima no diretório LDAP com base no nome de usuário especificado, encontra o DN correspondente e, na sequência, autentica o login do usuário no diretório LDAP usando o DN.
Pesquisa Não Anônima: Ao criar contas de usuário LDAP do Sentinel Rapid Deployment, você deve especificar tanto o nome de usuário do diretório quanto o DN do usuário.
Quando o usuário LDAP efetua login no Sentinel Rapid Deployment, o servidor Sentinel Rapid Deployment autentica o login do usuário no diretório LDAP usando o DN do usuário especificado e não realiza nenhuma pesquisa anônima no diretório LDAP.
Existe uma outra abordagem que vale apenas para o Active Directory. Para obter mais informações, consulte Autenticação LDAP não anônima usando o atributo UserPrincipalName no Active Directory.
A conexão SSL segura com o servidor LDAP requer o certificado CA do servidor LDAP, que você deve exportar para o arquivo codificado com base64.
eDirectory: Consulte Exporting an Organizational CA's Self-Signed Certificate (Exportando o certificado autoassinado de uma CA organizacional).
Para exportar um certificado CA do eDirectory no iManager, os plug-ins do Servidor de Certificação da Novell devem ser instalados.
Active Directory: Consulte Como habilitar LDAP sobre SSL com uma autoridade de certificação de terceiros.
Para realizar a autenticação LDAP usando a pesquisa anônima, habilite a pesquisa anônima no diretório LDAP. Por padrão, a pesquisa anônima está habilitada no eDirectory e desabilitada no Active Directory.
Para habilitar a pesquisa anônima no diretório LDAP, consulte o seguinte:
eDirectory: Consulte ldapBindRestrictions na seção Attributes on the LDAP Server Object (Atributos no objeto Servidor LDAP).
Active Directory: O objeto Usuário LOGON ANÔNIMO deve ter a permissão de lista e o acesso de leitura apropriados para os atributos sAMAccountName e objectclass. Para obter mais informações, consulte Como configurar o Active Directory para permitir consultas anônimas.
Para o Windows Server 2003, você deve realizar uma configuração adicional. Para obter mais informações, consulte Configurando o Active Directory no Windows Server 2003.
Verifique se você atende aos pré-requisitos na Seção 3.7.2, Pré-requisitos.
Efetue login no servidor Sentinel Rapid Deployment como usuário root.
Copie o arquivo exportado do certificado CA do servidor LDAP para o diretório <diretório_de_instalação>/config.
Defina a propriedade e as permissões do arquivo de certificado como mostrado a seguir:
chown novell:novell <diretório_de_instalação>/config/<arquivo-cert>
chmod 700 <diretório_de_instalação>/config/<arquivo-cert>
Mude para o usuário novell:
su - novell
Mude para o diretório <diretório_de_instalação>/bin.
Execute o script de configuração da autenticação LDAP:
./ldap_auth_config.sh
O script faz backup dos arquivos de configuração auth.login e configuration.xml no diretório config como auth.login.sav e configuration.xml.sav antes de modificá-los para autenticação LDAP.
Especifique as seguintes informações:
Pressione Enter para aceitar o valor padrão ou especifique um novo valor para anular o padrão.
Local de instalação do Sentinel: O diretório de instalação no Sentinel Server.
Nome de host ou endereço IP do servidor LDAP: O nome de host ou o endereço IP da máquina em que o servidor LDAP foi instalado. O valor padrão é localhost. Porém, você não deve instalar o servidor LDAP na mesma máquina que o servidor do Sentinel
Porta do Servidor LDAP: O número da porta para conexão LDAP segura. O número de porta padrão é 636.
Pesquisas anônimas no diretório LDAP: Especifique y para realizar pesquisas anônimas. Do contrário, especifique n. O valor padrão é y.
Se você especificar n, conclua a configuração LDAP e execute as etapas mencionadas na seção Autenticação LDAP sem realizar pesquisas anônimas.
Diretório LDAP usado: Esse parâmetro é exibido apenas quando você especifica ‘y’ para pesquisas anônimas. Especifique 1 para Novell eDirectory ou 2 para Active Directory. O valor padrão é 1.
Subárvore LDAP para pesquisar usuários: Esse parâmetro é exibido apenas quando você especifica ‘y’ para pesquisas anônimas. A subárvore no diretório que tem os objetos Usuário. Veja a seguir exemplos para especificar a subárvore no eDirectory e no Active Directory:
eDirectory:
ou=users,o=novell
NOTA:Para o eDirectory, se nenhuma subárvore for especificada, a pesquisa será executada em todo o diretório.
Active Directory:
CN=users,DC=TESTAD,DC=provo, DC=novell,DC=com
NOTA:Para o Active Directory, a subárvore não pode ficar em branco.
Nome de arquivo do certificado do servidor LDAP: O nome de arquivo do certificado CA do eDirectory/Active Directory que você copiou na Etapa 3.
Digite uma das opções a seguir:
y para aceitar os valores digitados
n para digitar novos valores
q para sair da configuração
Na configuração bem-sucedida:
O certificado do servidor LDAP é adicionado a um keystore chamado <diretório_de_instalação>/config/ldap_server.keystore.
Os arquivos de configuração auth.login e configuration.xml no diretório <diretório_de_instalação>/config são atualizados para habilitar a autenticação LDAP.
Digite y para reiniciar o serviço do Sentinel.
IMPORTANTE:Se houver algum erro, reverta as mudanças feitas nos arquivos de configuração auth.login e configuration.xml no diretório config:
cp -p auth.login.sav auth.login cp -p configuration.xml.sav configuration.xml
(Condicional) Se você especificou n para Pesquisas anônimas no diretório LDAP:, continue em Autenticação LDAP sem realizar pesquisas anônimas.
Durante a configuração do Sentinel Rapid Deployment para Autenticação LDAP, se você tiver especificado n para pesquisas Anônimas no diretório LDAP, a autenticação LDAP não realizará a pesquisa anônima.
Ao criar a conta de usuário LDAP utilizando o Sentinel Control Center, especifique o para autenticação LDAP não anônima. É possível usar essa abordagem tanto para o eDirectory quanto para o Active Directory.
Para obter mais informações, consulte Creating an LDAP User Account for Sentinel
(Criando uma conta de usuário LDAP para o Sentinel) no Sentinel Rapid Deployment User Guide (Guia do Usuário do Sentinel Rapid Deployment).
Além disso, para o Active Directory, existe uma abordagem alternativa para realizar a autenticação LDAP sem pesquisas anônimas. Para obter mais informações, consulte Autenticação LDAP não anônima usando o atributo UserPrincipalName no Active Directory.
Para o Active Directory, é possível também executar a autenticação LDAP sem pesquisas anônimas, utilizando o atributo userPrinicipalName:
Verifique se o atributo userPrinicipalName está definido como <sAMAccountName@domain> para o usuário do Active Directory.
Para obter mais informações, consulte o Atributo User-Principal-Name.
Você deve ter realizado da Etapa 1 a Etapa 10, e especificado n para Pesquisas anônimas no diretório LDAP:.
No Sentinel Server, edite a seção LdapLogin no arquivo <Diretório de Instalação>/config/auth.login :
LdapLogin {
com.sun.security.auth.module.LdapLoginModule required
userProvider="ldap://LDAP server IP:636/DN of the Container that contains the user objects"
authIdentity="{USERNAME}@Domain Name"
userFilter="(&(sAMAccountName={USERNAME})(objectclass=user))"
useSSL=true;
};
Por exemplo:
LdapLogin {
com.sun.security.auth.module.LdapLoginModule required
userProvider="ldap://137.65.151.12:636/DC=Test-AD,DC=provo,DC=novell,DC=com"
authIdentity="{USERNAME}@Test-AD.provo.novell.com"
userFilter="(&(sAMAccountName={USERNAME})(objectclass=user))"
useSSL=true;
};
Reinicie o serviço do Sentinel:
/etc/init.d/sentinel stop
/etc/init.d/sentinel start
Para configurar um ou mais servidores LDAP como servidores de failover para autenticação LDAP:
Você deve ter seguido da Etapa 2 a Etapa 10 para configurar o Sentinel Server para autenticação LDAP no servidor LDAP principal.
Efetue login no Sentinel Server como usuário novell.
Pare o serviço do Sentinel.
/etc/init.d/sentinel stop
Mude para o diretório <diretório_de_instalação>/config:
cd <diretório_de_instalação>/config
Abra o arquivo auth.login para edição.
vi auth.login
Atualize o userProvider na seção LdapLogin para especificar vários URLs LDAP. Separe cada URL com um espaço.
Por exemplo:
userProvider="ldap://ldap-url1 ldap://ldap-url2"
Para o Active Directory, verifique se a subárvore no URL LDAP não está em branco.
Para obter mais informações sobre como especificar vários URLs LDAP, consulte a descrição da opção userProvider em Class LdapLogin Module.
Grave as mudanças.
Exporte o certificado de cada servidor LDAP de failover e copie o arquivo de certificado para o diretório <diretório_de_instalação>/config no Sentinel Server.
Para obter mais informações, consulte Exportando o certificado CA do servidor LDAP.
Você deve ter definido a propriedade e as permissões necessárias do arquivo de certificado para cada servidor LDAP de failover.
chown novell:novell <diretório_de_instalação>/config/<arquivo-cert>
chmod 700 <diretório_de_instalação>/config/<arquivo-cert>
Adicione o certificado de cada servidor LDAP de failover ao keystore ldap_server.keystore criado na Etapa 8 da seção Configurando o Sentinel Server para autenticação LDAP.
<diretório_de_instalação>/jre64/bin/keytool -importcert -noprompt -trustcacerts -file <arquivo-certificado> -alias <nome_álias> -keystore ldap_server.keystore -storepass sentinel
Substitua <arquivo-certificado> pelo nome de arquivo do certificado LDAP em formato codificado com base64 e substitua <nome_álias> pelo nome do álias do certificado que será importado.
IMPORTANTE:Você deve especificar o álias. Se nenhum álias for especificado, a ferramenta chave usará mykey como álias, por padrão. Quando você importa vários certificados para o keystore sem especificar um álias, a ferramenta chave relata um erro dizendo que o álias já existe.
Inicie o serviço do Sentinel.
/etc/init.d/sentinel start
O serviço não deverá se conectar ao servidor LDAP de failover se o Sentinel Server exceder o tempo de espera antes de reconhecer que o servidor LDAP principal está desativado. Para garantir a conexão do Sentinel Server com o servidor LDAP de failover sem exceder o tempo de espera:
Efetue login no Sentinel Server como usuário root.
Abra o arquivo sysct1.conf para edição:
vi /etc/sysctl.conf
Verifique se o valor net.ipv4.tcp_syn_retries está definido como 3. Se a entrada não existir, adicione-a. Grave o arquivo:
net.ipv4.tcp_syn_retries = 3
Execute o comando para que as mudanças entrem em vigor:
/sbin/sysctl -p
/sbin/sysctl -w net.ipv4.route.flush=1
Defina o valor de tempo de espera do Sentinel Server adicionando o parâmetro -Desecurity.remote.timeout=60 a control_center.sh e solution_designer.sh no diretório <diretório_de_instalação>/bin:
control_center.sh:
"<diretório_de_instalação>/jre/bin/java" $MEMORY -Dcom.esecurity.configurationfile=$ESEC_CONF_FILE -Desecurity.cache.directory="<diretório_de_instalação>/data/control_center.cache" -Desecurity.communication.service="sentinel_client" -Dfile.encoding=UTF8 -Desecurity.dataobjects.config.file="/xml/BaseMetaData.xml,/xml/WorkflowMetaData.xml,/xml/ActMetaData.xml" -Djava.util.logging.config.file="<diretório_de_instalação>/config/control_center_log.prop" -Djava.security.auth.login.config="<diretório_de_instalação>/config/auth.login" $SENTINEL_LANG_PROP $SENTINEL_CTRY_PROP -Dice.pilots.html4.baseFontFamily="Arial Unicode MS" -Desecurity.remote.timeout=60 -jar ../lib/console.jar
solution_designer.sh:
"<diretório_de_instalação>/jre/bin/java" -classpath $LOCAL_CLASSPATH $MEMORY -Dcom.esecurity.configurationfile="$ESEC_CONF_FILE" -Dsentinel.installer.jar.location="<diretório_de_instalação>/lib/contentinstaller.jar" -Desecurity.communication.service="sentinel_client" -Dfile.encoding=UTF8 -Desecurity.dataobjects.config.file="/xml/BaseMetaData.xml,/xml/WorkflowMetaData.xml,/xml/ActMetaData.xml" -Djava.util.logging.config.file="<diretório_de_instalação>/config/solution_designer_log.prop" -Djava.security.auth.login.config="<diretório_de_instalação>/config/auth.login" $SENTINEL_LANG_PROP $SENTINEL_CTRY_PROP -Desecurity.cache.directory=../data/solution_designer.cache -Desecurity.remote.timeout=60 com.esecurity.content.exportUI.ContentPackBuilder
Se os usuários LDAP a serem autenticados estiverem em vários domínios do Active Directory, você poderá configurar o servidor Sentinel Rapid Deployment para autenticação LDAP da seguinte forma:
Verifique se você seguiu a Etapa 2 até a Etapa 10 para configurar o Sentinel Server para autenticação LDAP no controlador de domínio do Active Directory do primeiro domínio. Verifique também se você especificou n para Pesquisas anônimas no diretório LDAP:.
Efetue login no Sentinel Server como usuário novell.
Pare o serviço do Sentinel.
/etc/init.d/sentinel stop
Mude para o diretório <diretório_de_instalação>/config:
cd <diretório_de_instalação>/config
Abra o arquivo auth.login para edição.
vi auth.login
Edite a seção LdapLogin para especificar vários URLs LDAP, separando cada URL com um espaço em branco.
Por exemplo:
LdapLogin {
com.sun.security.auth.module.LdapLoginModule required
userProvider="ldap://<IP of the domain 1 domain controller>:636 ldap://<IP of the domain 2 domain controller>:636"
authIdentity="{USERNAME}"
useSSL=true;
};
Para obter mais informações sobre como especificar vários URLs LDAP, consulte a descrição da opção userProvider em Class LdapLogin Module.
Grave as mudanças.
Exporte o certificado do controlador de cada domínio e copie os arquivos de certificado para o diretório <diretório_de_instalação>/config no Sentinel Server.
Para obter mais informações, consulte Exportando o certificado CA do servidor LDAP.
Defina a propriedade e as permissões necessárias dos arquivos de certificado.
chown novell:novell <diretório_de_instalação>/config/<arquivo-cert>
chmod 700 <diretório_de_instalação>/config/<arquivo-cert>
Adicione cada certificado ao keystore ldap_server.keystore criado na Etapa 8 da seção Configurando o Sentinel Server para autenticação LDAP.
<diretório_de_instalação>/jre64/bin/keytool -importcert -noprompt -trustcacerts -file <arquivo-certificado> -alias <nome_álias> -keystore ldap_server.keystore -storepass sentinel
Substitua <arquivo-certificado> pelo nome de arquivo do certificado LDAP em formato codificado com base64 e substitua <nome_álias> pelo nome do álias do certificado que será importado.
IMPORTANTE:Você deve especificar o álias. Se nenhum álias for especificado, a ferramenta chave usará mykey como álias, por padrão. Quando você importa vários certificados para o keystore sem especificar um álias, a ferramenta chave relata um erro dizendo que o álias já existe.
Inicie o serviço do Sentinel.
/etc/init.d/sentinel start
Após configurar com êxito o Sentinel Server para autenticação LDAP, é possível criar contas de usuário LDAP do Sentinel no Sentinel Control Center. Para obter mais informações sobre como criar contas de usuário LDAP, consulte Creating an LDAP User Account for Sentinel
(Criando uma conta de usuário LDAP para o Sentinel) no Sentinel Rapid Deployment User Guide (Guia do Usuário do Sentinel Rapid Deployment).
Após criar a conta de usuário LDAP, é possível efetuar login na interface do usuário da Web do Sentinel Rapid Deployment, no Sentinel Control Center e no Sentinel Solution Designer com o nome de usuário LDAP e a senha.
NOTA:Para modificar uma configuração LDAP existente, execute o script ldap_auth_config novamente e especifique os novos valores para os parâmetros.