Abilitazione dell'autenticazione tramite server LDAP

LDAP è un protocollo estendibile tra più piattaforme, basato su standard, che viene eseguito direttamente su TCP/IP e viene utilizzato per accedere a database specializzati denominati directory.

Gli amministratori di MVE possono utilizzare il server LDAP della società per autenticare gli ID utente e le password, per evitare di mantenere più credenziali utente.

MVE tenta di eseguire l'autenticazione in base alle credenziali utente valide presenti nel sistema. Se MVE non è in grado di eseguire l'autenticazione dell'utente, prova a eseguirla in base agli utenti registrati nel server LDAP. Se gli stessi nomi utente sono presenti sia nel server MVE sia nel server LDAP, viene utilizzata la password di MVE.

Come prerequisito, il server LDAP deve contenere gruppi utente corrispondenti ai ruoli utente richiesti. Per ulteriori informazioni, vedere Aggiunta, modifica o eliminazione di un utente nel sistema.

Nell'area di intestazione, fare clic su icona Impostazioni > LDAP > Abilita LDAP per autenticazione.

Nella sezione Connessione, configurare le seguenti impostazioni:

Server: digitare l'indirizzo IP o il nome host del server LDAP dove verrà eseguita l'autenticazione. Per utilizzare la comunicazione crittografata tra il server MVE e il server LDAP, attenersi alla seguente procedura:
1. Utilizzare il nome di dominio completo (FQDN) dell'host server.
2. Accedere al file host di rete e creare una voce per associare il nome host del server al relativo indirizzo IP.
  Note:
  - In un sistema operativo Linux o UNIX, il file host di rete si trova solitamente in /etc/hosts.
  - In un sistema operativo Windows, il file host di rete si trova solitamente in %SystemRoot%\system32\drivers\etc.
  - Il protocollo TLS richiede che il nome host del server corrisponda al nome dell'host "Emesso per" specificato nel certificato TLS.
Porta: digitare il numero di porta utilizzato dal computer locale per comunicare con il server community LDAP. Il numero di porta predefinito è 389.

DN radice: digitare il nome distinto di base (DN) del nodo radice. Nella gerarchia del server community LDAP, questo nodo deve essere il diretto predecessore del nodo utente e del nodo gruppo. Ad esempio, dc=mvptest,dc=com

Nota: quando si specifica l'opzione DN radice, accertarsi che solo dc e o facciano parte del DN radice. Se ou o cn è predecessore del nodo utente e del nodo gruppo, utilizzare ou o cn in Base di ricerca utente e Base di ricerca gruppo.

Configurare le impostazioni di ricerca.

Base di ricerca utente: immettere il nodo nel server community LDAP in cui è presente l'oggetto utente. Questo nodo si trova nel DN radice in cui sono elencati tutti i nodi utente. Ad esempio, ou=people
Se gli utenti si trovano a livelli gerarchici con più directory nel server community LDAP, procedere come indicato di seguito:
1. Calcolare le eventuali gerarchie upstream comuni di tutte le possibili posizioni nel nodo utente.
2. Includere la configurazione nel campo Base di ricerca utente.

Filtro di ricerca utente: digitare il parametro per individuare un oggetto utente nel server community LDAP. Ad esempio, (uid={0})

La funzione Filtro di ricerca utente può contenere diverse condizioni ed espressioni complesse.

Accesso con	Nel campo Filtro di ricerca utente, digitare
Nome comune	(CN={0})
Nome di accesso	(sAMAccountName={0})
Nome principale utente	(userPrincipalName={0})
Numero di telefono	(telephoneNumber={0})
Nome di accesso o nome comune	(\|(sAMAccountName={0})(CN={0}))

Note:

Queste espressioni sono valide solo per il server LDAP Windows Active Directory®.
Per la funzione Filtro di ricerca utente, l'unico modello valido è {0}, quindi MVE cerca il nome di accesso utente MVE.

Base di ricerca gruppo: digitare il nodo nel server community LDAP in cui sono presenti i gruppi utente corrispondenti ai ruoli di MVE. Questo nodo si trova nel DN radice in cui sono elencati tutti i nodi gruppo. Ad esempio, ou=group
Nota: una base di ricerca è composta da più attributi separati da virgole, ad esempio cn (nome comune), ou (unità organizzativa), o (organizzazione), c (paese) o dc (dominio).

Filtro di ricerca gruppo: digitare il parametro per individuare un utente all'interno di un gruppo che corrisponde a un ruolo in MVE.

Nota: è possibile utilizzare i modelli {0} e {1}, in base alla configurazione del server community LDAP di back-end. Se si utilizza {0}, MVE cerca il DN utente LDAP. Il DN utente viene recuperato internamente durante il processo di autenticazione dell'utente. Se si utilizza {1}, MVE cerca il nome di accesso utente MVE.

Attributo ruolo gruppo: digitare l'attributo contenente il nome completo del gruppo. Ad esempio, cn.
Abilita ricerca gruppo nidificato: consente di cercare i gruppi nidificati all'interno del server community LDAP.

Fare clic su Informazioni di binding e configurare le impostazioni.

Binding anonimo: se in MVE non è memorizzata una configurazione LDAP, questa opzione è selezionata per impostazione predefinita. Il server MVE non produce la propria identità o le proprie credenziali al server LDAP al fine di utilizzare la funzione di ricerca del server LDAP. La sessione di ricerca in LDAP di completamento utilizza solo la comunicazione crittografata.

Binding semplice: utilizza la comunicazione non crittografata tra il server MVE e il server LDAP. Se si desidera che il server MVE utilizzi la funzione di ricerca del server LDAP, attenersi alla seguente procedura:

Nel campo DN di binding, digitare il nome distinto di bind.

Digitare la password di binding, quindi confermarla.

Nota: la password di binding dipende dalle impostazioni Utente binding nel server LDAP. Se Utente binding è impostato su Non vuoto, è necessaria una password di binding. Se Utente binding è impostato su Vuoto, non è necessaria una password di binding. Per ulteriori informazioni, contattare l'amministratore LDAP.

TLS: utilizza la comunicazione crittografata tra il server MVE e il server LDAP. Il server MVE esegue la sua autenticazione completa al server LDAP utilizzando l'identità del server MVE (DN di binding) e le credenziali (password di binding). Per configurare le impostazioni, effettuare le seguenti operazioni:
Per i certificati autofirmati, l'impronta digitale TLS deve essere disponibile per il keystore JVM (Java Virtual Machine) del sistema denominato cacerts. Il keystore si trova nella cartella [mve.home]/jre/lib/security, dove [mve.home] è la cartella di installazione di MVE.
1. Nel campo DN di binding, digitare il nome distinto di bind.
2. Digitare la password di binding, quindi confermarla.
  Nota: è necessaria la password di binding.
Kerberos: utilizza la comunicazione crittografata tra il server MVE e il server LDAP. Il protocollo di protezione Kerberos è supportato solo da Windows Active Directory® con un'implementazione GSSAPI (Generic Security Service Application Program Interface). Per ulteriori informazioni, consultare la documentazione di Kerberos. Per configurare le impostazioni, effettuare le seguenti operazioni:
1. Nel campo File di configurazione Kerberos, individuare il file krb5.conf.
  Configurazione di esempio:
```
[libdefaults] default_realm=ABC.COM [realms] ABC.COM = { kdc = abc1.abc.com } [domain_realm] .abc.com=ABC.COM
```
2. Nel menu Metodo di crittografia, selezionare se si desidera utilizzare la crittografia SSL.
3. Nel campo Nome utente KDC, digitare il nome KDC (Key Distribution Center).
4. Digitare la password KDC, quindi confermarla.
Nota: per abilitare l'autenticazione Kerberos, consultare la sezione Abilitazione dell'autenticazione Kerberos.

Fare clic su Mapping ruoli, quindi configurare le seguenti impostazioni:

Amministratore: digitare il ruolo esistente in LDAP che dispone dei diritti amministrativi in MVE.
Risorse: digitare il ruolo esistente in LDAP che gestisce il modulo Risorse in MVE.
Configurazioni: digitare il ruolo esistente in LDAP che gestisce il modulo Configurazioni in MVE.
Service Desk: digitare il ruolo esistente in LDAP che gestisce il modulo Service Desk in MVE.
Gestione eventi: digitare il ruolo esistente in LDAP che gestisce il modulo Gestione eventi in MVE.

Note:

MVE associa automaticamente il gruppo LDAP specificato al ruolo MVE corrispondente.
È possibile assegnare un gruppo LDAP a più ruoli MVE ed è anche possibile immettere più di un gruppo LDAP in un campo Ruolo.
Quando si immettono più gruppi LDAP nei campi Ruolo, utilizzare il carattere della barra verticale (|) per separare più gruppi LDAP. Ad esempio, per includere i gruppi amministratore e risorse per il ruolo di amministratore, digitare amministratore|risorse nel campo Amministratore.
Se si desidera utilizzare solo il ruolo di amministratore e non gli altri ruoli MVE, lasciare i campi vuoti.

Fare clic su Applica > Chiudi.

Abilitazione dell'autenticazione Kerberos

Prima di iniziare, accertarsi delle seguenti condizioni:

I gruppi e gli utenti di MVE sono configurati nel server Active Directory. Per ulteriori informazioni, contattare l'amministratore di sistema.

Si dispone di un file keytab contenente le credenziali utente MVE e una chiave crittografata. Per generare un file Keytab, è possibile utilizzare lo strumento Ktpass. Per ulteriori informazioni, consultare i riferimenti online per Microsoft.

Nell'area di intestazione, fare clic su icona Impostazioni > LDAP > Abilita LDAP per autenticazione.

Nella sezione Informazioni di binding, selezionare Kerberos > Abilita autenticazione Kerberos.

Configurare le seguenti impostazioni:

Nome principale servizio: immettere il nome principale del servizio per il server MVE.
Keytab: individuare il file Keytab.

Configurare le impostazioni di Mapping ruoli. Per ulteriori informazioni, vedere passo 5.

Nota: verificare che i ruoli MVE specificati corrispondano ai gruppi esistenti configurati nel server Active Directory.

Fare clic su Applica > Chiudi.