Abilitazione dell'autenticazione tramite server LDAP

LDAP è un protocollo estendibile tra più piattaforme, basato su standard, che viene eseguito direttamente su TCP/IP e viene utilizzato per accedere a database specializzati denominati directory.

Per evitare di mantenere più credenziali utente, è possibile utilizzare il server LDAP della società per autenticare gli ID utente e le password.

Nota: MVE tenta di eseguire l'autenticazione in base alle credenziali utente valide presenti nel sistema. Se MVE non è in grado di eseguire l'autenticazione dell'utente, prova a eseguirla in base agli utenti registrati nel server LDAP. Se gli stessi nomi utente sono presenti sia nel server MVE sia nel server LDAP, viene utilizzata la password di MVE.

Come prerequisito, il server LDAP deve contenere gruppi utente corrispondenti ai ruoli utente richiesti. Per ulteriori informazioni, vedere Gestione degli utenti.

Nell'area di intestazione, fare clic su icona Impostazioni > LDAP > Abilita LDAP per autenticazione.

Nella sezione Connessione, configurare le seguenti impostazioni:

Server: digitare l'indirizzo IP o il nome host del server LDAP dove verrà eseguita l'autenticazione. Per utilizzare la comunicazione crittografata tra il server MVE e il server LDAP, attenersi alla seguente procedura:
1. Utilizzare il nome di dominio completo (FQDN) dell'host server.
2. Accedere al file host di rete e creare una voce per associare il nome host del server al relativo indirizzo IP.
  Note:
  - In un sistema operativo Linux o UNIX, il file host di rete si trova solitamente in /etc/hosts.
  - In un sistema operativo Windows, il file host di rete si trova solitamente in %SystemRoot%\system32\drivers\etc.
  - Il protocollo TLS richiede che il nome host del server corrisponda al nome dell'host "Emesso per" specificato nel certificato TLS.
Porta: digitare il numero di porta utilizzato dal computer locale per comunicare con il server community LDAP. Il numero di porta predefinito è 389.

DN radice: digitare il nome distinto di base (DN) del nodo radice. Nella gerarchia del server community LDAP, questo nodo deve essere il diretto predecessore del nodo utente e del nodo gruppo. Ad esempio, dc=mvptest,dc=com.

Nota: quando si specifica l'opzione DN radice, accertarsi che solo dc e o facciano parte del DN radice. Se ou o cn è predecessore del nodo utente e del nodo gruppo, utilizzare ou o cn in Base di ricerca utente e Base di ricerca gruppo.

Configurare le impostazioni di ricerca.

Base di ricerca utente: immettere il nodo nel server community LDAP in cui è presente l'oggetto utente. Questo nodo si trova nel DN radice in cui sono elencati tutti i nodi utente. Ad esempio, ou=people.
Se gli utenti si trovano a livelli gerarchici con più directory nel server community LDAP, procedere come indicato di seguito:
1. Calcolare le eventuali gerarchie upstream comuni di tutte le possibili posizioni nel nodo utente.
2. Includere la configurazione nel campo Base di ricerca utente.

Filtro di ricerca utente: digitare il parametro per individuare un oggetto utente nel server community LDAP. Ad esempio, (uid={0}).

La funzione Filtro di ricerca utente può contenere diverse condizioni ed espressioni complesse.

Accesso con	Nel campo Filtro di ricerca utente, digitare
Nome comune	(CN={0})
Nome di accesso	(sAMAccountName={0})
Nome principale utente	(userPrincipalName={0})
Numero di telefono	(telephoneNumber={0})
Nome di accesso o nome comune	(\|(sAMAccountName={0})(CN={0}))

Note:

Queste espressioni sono valide solo per il server Active Directory®.
Per la funzione Filtro di ricerca utente, l'unico modello valido è {0}, quindi MVE cerca il nome di accesso utente MVE.

Base di ricerca gruppo: digitare il nodo nel server community LDAP in cui sono presenti i gruppi utente corrispondenti ai ruoli di MVE. Questo nodo si trova nel DN radice in cui sono elencati tutti i nodi gruppo. Ad esempio, ou=group.
Nota: una base di ricerca è composta da più attributi separati da virgole, ad esempio cn (nome comune), ou (unità organizzativa), o (organizzazione), c (paese) o dc (dominio).

Filtro di ricerca gruppo: digitare il parametro per individuare un utente all'interno di un gruppo che corrisponde a un ruolo in MVE.

Nota: è possibile utilizzare i modelli {0} e {1}, in base alla configurazione del server community LDAP di back-end. Se si utilizza {0}, MVE cerca il DN utente LDAP. Il DN utente viene recuperato internamente durante il processo di autenticazione dell'utente. Se si utilizza {1}, MVE cerca il nome di accesso utente MVE.

Attributo ruolo gruppo: digitare l'attributo contenente il nome completo del gruppo. Ad esempio, cn.
Abilita ricerca gruppo nidificato: consente di cercare i gruppi nidificati all'interno del server community LDAP.

Fare clic su Informazioni di binding, quindi configurare le impostazioni.

Binding anonimo: se in MVE non è memorizzata una configurazione LDAP, questa opzione è selezionata per impostazione predefinita. Il server MVE non produce la propria identità o le proprie credenziali al server LDAP al fine di utilizzare la funzione di ricerca del server LDAP. La sessione di ricerca in LDAP di completamento utilizza solo la comunicazione crittografata.

Binding semplice: utilizza la comunicazione non crittografata tra il server MVE e il server LDAP. Se si desidera che il server MVE utilizzi la funzione di ricerca del server LDAP, attenersi alla seguente procedura:

Nel campo DN di binding, digitare il nome distinto di bind.

Digitare la password di binding, quindi confermarla.

Nota: la password di binding dipende dalle impostazioni Utente binding nel server LDAP. Se Utente binding è impostato su Non vuoto, è necessaria una password di binding. Se Utente binding è impostato su Vuoto, non è necessaria una password di binding. Per ulteriori informazioni, contattare l'amministratore LDAP.

TLS: utilizza la comunicazione crittografata tra il server MVE e il server LDAP. Il server MVE esegue la sua autenticazione completa al server LDAP utilizzando l'identità del server MVE (DN di binding) e le credenziali (password di binding).
Per i certificati autofirmati, l'impronta digitale TLS deve essere disponibile per il keystore Java Virtual Machine del sistema denominato cacerts. Il keystore si trova nella cartella [mve.home]/jre/lib/security, dove [mve.home] è la cartella di installazione di MVE. Per configurare le impostazioni, effettuare le seguenti operazioni:
1. Nel campo DN di binding, digitare il nome distinto di bind.
2. Digitare la password di binding, quindi confermarla.
  Nota: è necessaria la password di binding.
Kerberos: utilizza la comunicazione crittografata tra il server MVE e il server LDAP. Il protocollo di protezione Kerberos è supportato solo in caso di Active Directory con implementazione GSSAPI. Per ulteriori informazioni, consultare la documentazione di Kerberos. Per configurare le impostazioni, effettuare le seguenti operazioni:
1. Nel campo File di configurazione Kerberos, individuare il file krb5.conf.
  Configurazione di esempio:
```
[libdefaults]
    default_realm=ABC.COM

[realms]
    ABC.COM = {
      kdc = abc1.abc.com
    }

[domain_realm]
    .abc.com=ABC.COM
```
2. Nel menu Metodo di crittografia, selezionare se si desidera utilizzare la crittografia SSL.
3. Nel campo Nome utente KDC, digitare il nome KDC (Key Distribution Center).
4. Digitare la password KDC, quindi confermarla.
Nota: per abilitare l'autenticazione Kerberos, consultare la sezione Abilitazione dell'autenticazione Kerberos.

Fare clic su Mapping ruoli, quindi configurare le seguenti impostazioni:

Amministratore: digitare il ruolo esistente in LDAP che dispone dei diritti amministrativi in MVE.
Risorse: digitare il ruolo esistente in LDAP che gestisce il modulo Risorse in MVE.
Configurazioni: digitare il ruolo esistente in LDAP che gestisce il modulo Configurazioni in MVE.
Service Desk: digitare il ruolo esistente in LDAP che gestisce il modulo Service Desk in MVE.
Gestione eventi: digitare il ruolo esistente in LDAP che gestisce il modulo Gestione eventi in MVE.

Note:

MVE associa automaticamente il gruppo LDAP specificato al ruolo MVE corrispondente.
È possibile assegnare un gruppo LDAP a più ruoli MVE ed è anche possibile immettere più di un gruppo LDAP in un campo Ruolo.
Quando si immettono più gruppi LDAP nei campi Ruolo, utilizzare il carattere della barra verticale (|) per separare più gruppi LDAP. Ad esempio, per includere i gruppi amministratore e risorse per il ruolo di amministratore, digitare amministratore|risorse nel campo Amministratore.
Se si desidera utilizzare solo il ruolo di amministratore e non gli altri ruoli MVE, lasciare i campi vuoti.

Fare clic su Applica > Chiudi.