Ativação da autenticação do servidor LDAP

O LDAP é uma plataforma cruzada baseada em padrões, de protocolo extensível que funciona diretamente sobre o TCP/IP. Ele é usado para acessar bancos de dados especializados chamados diretórios.

Para evitar a manutenção de múltiplas credenciais de usuário, você pode usar o servidor LDAP da empresa para autenticar IDs e senhas de usuários.

Como um pré-requisito, o servidor LDAP deve conter grupos de usuários que correspondam às funções de usuários necessárias. Para obter mais informações, consulte Compreendendo funções de usuário.

1. Clique em no canto superior direito da página.

2. Clique em LDAPe selecione Ativar LDAP para autenticação.

3. Na seção Informações de autenticação, configure as definições.

   • Nome do host do servidor LDAP—O endereço IP ou o nome do host do servidor LDAP onde ocorre a autenticação. Se você quiser usar comunicação criptografada entre o servidor MVE e o servidor LDAP, use o nome de domínio totalmente qualificado (FQDN).

   • Porta do servidor—O número da porta que o computador local usa para se comunicar com o servidor da comunidade LDAP. O MVE usa o número da porta para determinar o tipo de criptografia a ser usada. O número da porta padrão é 389. Se o número padrão da porta for usado, o MVE começa a sua conexão de forma não criptografada. Caso contrário, o MVE começa a sua conexão usando criptografia SSL.

   • Nome diferenciado raiz—O nome diferenciado base (DN) do nó raiz. Na hierarquia do servidor da comunidade LDAP, esse nó deve ser o ancestral do nó do usuário e do nó do grupo. Por exemplo, dc=mvptest,dc=com.

     Nota: Ao especificar o DN raiz, certifique-se de que somente dc e o fazem parte do DN raiz. Se ou ou cn é o ancestral dos nós de usuários e grupos, use ou ou cn nas bases de pesquisa do usuário e de grupo.

   • Base de pesquisa de usuário—O nó no servidor da comunidade LDAP onde está o objeto de usuário. Este nó está em DN raiz onde todos os nós de usuários estão listados. Por exemplo, ou=people.

   • Filtro de pesquisa de usuário— O parâmetro para localizar um objeto de usuário no servidor da comunidade LDAP. Por exemplo, (uid={0}).

     Exemplos de condições múltiplas permitidas e expressões complexas

     Efetue login usando	No campo “Filtro de pesquisa de usuário”, digite
     Nome comum	(CN={0})
     Nome de login	(sAMAccountName={0})
     Nome principal do usuário	(userPrincipalName={0})
     Número de telefone	(telephoneNumber={0})
     Nome de login ou nome comum	(|(sAMAccountName={0})(CN={0}))

     
     

     Nota: O único padrão válido é {0}, o que significa que o MVE procura o nome de login do usuário MVE.

   • Permitir pesquisa de usuários aninhados—O sistema procura por todos os nós na base de pesquisa do usuário.

   • Base de pesquisa de grupo—O nó do servidor da comunidade LDAP onde estão os grupos de usuários correspondentes às funções do MVE. Este nó está em DN raiz onde todos os nós de grupos estão listados. Por exemplo, ou=group.

   • Filtro da pesquisa de grupo—O parâmetro para localizar um usuário em um grupo que corresponda a uma função no MVE.

     Nota: Somente os padrões {0} e {1} podem ser usados. Se o {0} for usado, o MVE procura o DN do usuário LDAP. Se o {1} for usado, o MVE procura o nome de login do usuário MVE.

   • Atributo de função de grupo—O atributo que contém o nome completo do grupo. Por exemplo, cn.

   • Permitir pesquisa de grupos aninhados—O sistema procura por todos os nós na base de pesquisa do grupo.

4. Na seção Informações de encadernação, selecione um tipo de encadernação.

   • Anônimo—Esta opção está selecionada por padrão. O servidor MVE não produz sua identidade ou credenciais para o servidor LDAP com o objetivo de usar o recurso de pesquisa do servidor LDAP. A sessão de acompanhamento da pesquisa LDAP usa somente comunicação não criptografada.

   • Simples—O servidor MVE produz as credenciais específicas para o servidor LDAP usar o recurso de pesquisa do servidor LDAP. Se a porta do servidor estiver definida para 389, a comunicação com o servidor LDAP é não criptografada. Se a porta estiver definida para qualquer outro valor, a comunicação é criptografada.

     1. No campo “Nome diferenciado de associação, digite o DN de associação.

     2. Digite a senha de associação e confirme a senha.

   • TLS—O sistema usa comunicação criptografada Start TLS entre o servidor MVE e o servidor LDAP. O servidor MVE autentica-se completamente ao servidor LDAP usando a identidade (DN de associação) e as credenciais (senha de associação) do servidor MVE. O TLS funciona somente quando se utiliza a porta 389.

     1. No campo “Nome diferenciado de associação, digite o DN de associação.

     2. Digite a senha de associação e confirme a senha.

   • Kerberos—Para configurar as definições, proceda da seguinte forma:

     1. Clique em Escolha arquivo, e vá para o arquivo krb5.conf.

     2. No menu “Método de criptografia”, selecione se deseja usar a criptografia SSL.

     3. Selecione o tipo de autenticação.

        Se o tipo de autenticação estiver definido como nome/senha KDC, configure as definições.

        1. Digite o nome do Centro de distribuição de chave (KDC).

        2. Digite a senha KDC e confirme a senha.

        Nota: Caso você queira que os clientes façam login usando a Autenticação do Windows, use a autenticação Kerberos. É necessário criar um arquivo de nome principal do servidor (SPN) e um arquivo keytab no servidor LDAP. Após a configuração do método de autenticação, os clientes que não estiverem no hostlocal estarão autorizados a usar o MVE com base em suas contas de cliente. Para alterar as configurações do LDAP sem uma conta de cliente válida, acesse o MVE a partir do hostlocal usando uma conta de administrador local. Ao utilizar a autenticação Kerberos, o recurso Testar LDAP não será validado se o arquivo de SPN ou keytab estiverem configurados corretamente, e a autenticação pode falhar.

   Nota: Para a vinculação Simples, TLS e Kerberos, é necessário que o MVE confie no certificado do servidor LDAP. Para obter mais informações, consulte Instalando certificados de servidor LDAP.

5. Na seção “Grupos LDAP para mapeamento de função do MVE”, insira os nomes dos grupos LDAP que correspondem às funções do MVE.

   Notas:

   • Para obter mais informações, consulte Compreendendo funções de usuário.
   • É possível atribuir um grupo LDAP a várias funções MVE e também é possível digitar mais de um grupo LDAP em um campo de função.
   • Ao digitar vários grupos LDAP nos campos de funções, use o caractere de barra vertical (|) para separar vários grupos LDAP. Por exemplo, se você desejar incluir os grupos admin e ativos na função Admin, digite admin|ativos no campo “Grupos LDAP para função Admin”.
   • Se desejar usar apenas a função Admin e não as outras funções MVE, deixe os campos em branco.

6. Clique em Salvar alterações.