Abilitazione dell'autenticazione tramite server LDAP

LDAP è un protocollo estendibile tra più piattaforme, basato su standard, che viene eseguito direttamente su TCP/IP e viene utilizzato per accedere a database specializzati denominati directory.

Per evitare di mantenere più credenziali utente, è possibile utilizzare il server LDAP della società per autenticare gli ID utente e le password.

Come prerequisito, il server LDAP deve contenere gruppi utente corrispondenti ai ruoli utente richiesti. Per ulteriori informazioni, vedere Informazioni sui ruoli utente.

Fare clic su icona Impostazioni nell'angolo superiore destro della pagina.

Fare clic su LDAP, quindi selezionare Abilita LDAP per autenticazione.

Nella sezione Informazioni di autenticazione, configurare le impostazioni.

Nome host server LDAP: l'indirizzo IP o il nome host del server LDAP in cui viene eseguita l'autenticazione. Se si desidera utilizzare la comunicazione crittografata tra il server MVE e il server LDAP, utilizzare il nome di dominio completo (FQDN).
Porta server: il numero di porta utilizzato dal computer locale per comunicare con il server community LDAP. MVE utilizza il numero di porta per stabilire il tipo di crittografia da utilizzare. Il numero di porta predefinito è 389. Se viene utilizzato il numero di porta predefinito, MVE inizia la connessione non crittografata. In caso contrario, MVE inizia la connessione utilizzando la crittografia SSL.

Nome distinto radice: il nome distinto di base (DN) del nodo radice. Nella gerarchia del server community LDAP, questo nodo deve essere il diretto predecessore del nodo utente e del nodo gruppo. Ad esempio, dc=mvptest,dc=com.

Nota: quando si specifica il DN radice, accertarsi che solo dc e o facciano parte del DN radice. Se ou o cn è predecessore dei nodi utente e gruppo, utilizzare ou o cn nelle basi di ricerca dell'utente e del gruppo.

Base di ricerca utente: il nodo nel server community LDAP in cui è presente l'oggetto utente. Questo nodo si trova nel DN radice in cui sono elencati tutti i nodi utente. Ad esempio, ou=people.

Filtro di ricerca utente: il parametro per individuare un oggetto utente nel server community LDAP. Ad esempio, (uid={0}).

Esempi di espressioni complesse e condizioni multiple consentite
Accesso con	Nel campo "Filtro di ricerca utente", digitare
Nome comune	(CN={0})
Nome di accesso	(sAMAccountName={0})
Nome principale utente	(userPrincipalName={0})
Numero di telefono	(telephoneNumber={0})
Nome di accesso o nome comune	(\|(sAMAccountName={0})(CN={0}))

Nota: L'unico modello valido è {0}, che indica che MVE cerca il nome di accesso utente MVE.

Consenti ricerca utenti nidificata: il sistema ricerca tutti i nodi nella base di ricerca utente.
Base di ricerca gruppo: il nodo del server community LDAP in cui sono presenti i gruppi utente corrispondenti ai ruoli MVE. Questo nodo si trova nel DN radice in cui sono elencati tutti i nodi gruppo. Ad esempio, ou=group.
Filtro di ricerca gruppo: il parametro per individuare un utente all'interno di un gruppo che corrisponde a un ruolo MVE.
Nota: Possono essere utilizzati solo i modelli {0} e {1}. Se si utilizza {0}, MVE cerca il DN utente LDAP. Se si utilizza {1}, MVE cerca il nome di accesso utente MVE.
Attributo ruolo gruppo: l'attributo contenente il nome completo del gruppo. Ad esempio, cn.
Consenti ricerca gruppi nidificata: il sistema ricerca tutti i nodi nella base di ricerca gruppo.

Nella sezione Informazioni di binding, selezionare un tipo di binding.

Anonimo: questa opzione è selezionata per impostazione predefinita. Il server MVE non produce la propria identità o le proprie credenziali al server LDAP al fine di utilizzare la funzione di ricerca del server LDAP. La sessione di ricerca in LDAP di completamento utilizza solo la comunicazione crittografata.
Semplice: il server MVE produce le credenziali specificate sul server LDAP al fine di utilizzare la funzione di ricerca del server LDAP. Se la porta del server è impostata su 389, la comunicazione con il server LDAP non è crittografata. Se la porta è impostata su un altro valore, la comunicazione è crittografata.
1. Nel campo "Nome distinto binding", digitare il DN di binding.
2. Digitare la password di binding, quindi confermarla.
TLS: il sistema utilizza la comunicazione crittografata Start TLS tra il server MVE e il server LDAP. Il server MVE esegue la sua autenticazione completa sul server LDAP utilizzando l'identità del server MVE (DN di binding) e le credenziali (password di binding). TLS funziona solo se si utilizza la porta 389.
L'uso di un certificato autofirmato richiede che il certificato sia importato nel truststore MVE Java Virtual Machine per essere convalidato. Per ulteriori informazioni, vedere Installazione dei certificati del server LDAP.
1. Nel campo "Nome distinto binding", digitare il DN di binding.
2. Digitare la password di binding, quindi confermarla.
Kerberos: per configurare le impostazioni, effettuare le seguenti operazioni:
1. Fare clic su Scegli file, quindi selezionare il file krb5.conf.
2. Nel menu "Metodo di crittografia", selezionare se si desidera utilizzare la crittografia SSL.
3. Selezionare il tipo di autenticazione.
  Se il tipo di autenticazione è impostato su nome/password KDC, configurare le impostazioni.
  1. Digitare il nome KDC (Key Distribution Center).
  2. Digitare la password KDC, quindi confermarla.

Nella sezione "Mapping gruppi LDAP a ruoli MVE", configurare i ruoli.

Note:

Per ulteriori informazioni, vedere Informazioni sui ruoli utente.
MVE associa automaticamente il gruppo LDAP specificato al ruolo MVE corrispondente.
È possibile assegnare un gruppo LDAP a più ruoli MVE ed è anche possibile digitare più di un gruppo LDAP in un campo ruolo.
Quando si immettono più gruppi LDAP nei campi Ruolo, utilizzare il carattere della barra verticale (|) per separare più gruppi LDAP. Ad esempio, per includere i gruppi admin e assets per il ruolo di amministratore, digitare admin|assets nel campo "Gruppi LDAP per ruolo Amministratore".
Se si desidera utilizzare solo il ruolo di amministratore e non gli altri ruoli MVE, lasciare i campi vuoti.

Fare clic su Salva modifiche.