Kaspersky Unified Monitoring and Analysis Platform

Создание подключения к LDAP-серверу

Чтобы создать LDAP-подключение к Active Directory:

1. Откройте раздел Параметры → Интеграции → LDAP-сервер веб-интерфейса KUMA.
2. Выберите или создайте тенант, для которого хотите создать подключение к LDAP.
3. В окне Интеграция с LDAP-сервером по тенантам нажмите на кнопку Добавить параметры для нового тенанта.
4. В окне Интеграция с LDAP-сервером перейдите в блок Подключения и нажмите кнопку Создать.

   Откроется окно Создать подключения.

5. С помощью переключателя Состояние включите интеграцию, если хотите использовать это LDAP-подключение.
6. Укажите уникальное имя LDAP-подключения. Длина должна быть от 1 до 128 символов в кодировке Unicode.
7. В раскрывающемся списке выберите секрет с учетными данными для подключения к серверу Active Directory. Для этого выполните следующие действия:
   1. Если вы добавили секрет ранее, в раскрывающемся списке Секрет выберите существующий секрет типа credentials.
   2. Если вы хотите создать новый секрет, нажмите Создать.

      Откроется окно Создание секрета.

   3. В поле Название введите название секрета: от 1 до 128 символов в кодировке Unicode.
   4. В полях Пользователь и Пароль введите учетные данные для подключения к серверу Active Directory.

      Вы можете указать имя пользователя в одном из следующих форматов: <имя пользователя>@<домен> или <домен><имя пользователя>.

   5. В раскрывающемся списке Теги выберите теги для секрета.
   6. В поле Описание введите описание до 4000 символов в кодировке Unicode.
   7. Нажмите на кнопку Создать.
8. В поле URL введите адрес контроллера домена в формате <hostname или IP-адрес сервера>:<порт>.

   ВС помощью кнопки Добавить вы можете указать несколько нескольких серверов с контроллерами домена на случай, если один из них будет недоступен. Все указанные серверы должны находиться в одном домене.

9. Выберите один из следующих типов TLS-шифрования для соединения с контроллером домена:
   • LDAPS.

     При использовании LDAPS сразу устанавливается шифрованное соединение по порту 636.Этот тип TLS-шифрования установлен по умолчанию.

   • startTLS.

     При использовании метода

     startTLS

     Расширение обычного протокола текстового обмена, которое позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия для шифрованного соединения отдельного порта.

     сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование. Если команда STARTTLS завершается с ошибкой, соединение обрывается.

     Убедитесь, что порт 389 открыт. В противном случае соединение с контроллером домена будет невозможно.

   • Незащищенный.

   При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.

10. Укажите TLS-сертификат. Следует использовать сертификат удостоверяющего центра, которым подписан сертификат сервера LDAP. Пользовательские сертификаты использовать нельзя. Чтобы добавить сертификат, выполните следующие действия:
    1. Если вы загрузили сертификат ранее, выберите его в раскрывающемся списке Сертификат.
    2. Если вы хотите создать новый сертификат, в раскрывающемся списке Сертификат выберите Создать.

       Откроется окно Создание секрета.

    3. В поле Название введите название, которое будет отображаться в списке сертификатов после его добавления.
    4. Нажмите на кнопку Загрузить сертификат, чтобы добавить файл с сертификатом Active Directory. Поддерживаются открытые ключи сертификата X.509 в Base64.
    5. При необходимости в раскрывающемся списке Теги выберите теги для сертификата.
    6. Если требуется, укажите любую информацию о сертификате в поле Описание.
    7. Нажмите на кнопку Создать.

    Сертификат будет загружен и отобразится в списке Сертификат.

11. В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена.

    Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, программа обратится к следующему указанному серверу и т.д. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.

12. В поле База поиска (Base DN)  введите базовое отличительное имя каталога, в котором должен выполняться поисковый запрос.
13. В поле Пользовательские атрибуты учетных записей AD укажите дополнительные атрибуты, с использованием которых вы хотите обогащать события.

    Перед настройкой обогащения событий с помощью пользовательских атрибутов убедитесь, что пользовательские атрибуты настроены в AD.

    Чтобы обогащать события учетными записями с помощью пользовательских атрибутов:

    1. Добавьте Пользовательские атрибуты учетных записей AD в Параметрах подключения к LDAP.

       Невозможно добавить стандартные Импортируемые атрибуты из AD в качестве пользовательских. Например, если вы захотите добавить стандартный атрибут accountExpires в качестве пользовательского атрибута, при сохранении параметров подключения KUMA вернет ошибку.

       Из Active Directory можно запросить следующие атрибуты учетных записей:

       • accountExpires
       • badPasswordTime
       • cn
       • company
       • department
       • displayName
       • distinguishedName
       • division
       • employeeID
       • ipaUniqueID
       • l
       • mail
       • mailNickname
       • managedObjects
       • manager
       • memberOf (по этому атрибуту события можно искать при корреляции)
       • mobile
       • objectGUID (этот атрибут запрашивается из Active Directory всегда)
       • objectSid
       • physicalDeliveryOfficeName
       • sAMAccountName
       • sAMAccountType
       • sn
       • streetAddress
       • telephoneNumber
       • title
       • userAccountControl
       • userPrincipalName
       • whenChanged
       • whenCreated

       После того, как вы добавите пользовательские атрибуты в Параметрах подключения к LDAP, раскрывающийся список LDAP-атрибуты в коллекторе будет автоматически дополнен. Пользовательские атрибуты можно отличить по знаку вопроса рядом с именем атрибута. Если для нескольких доменов вы добавили один и тот же атрибут, в раскрывающемся списке атрибут будет указан один раз, а домены можно просмотреть, если навести курсор на знак вопроса. Названия доменов отображаются в виде ссылок: если вы нажмете на ссылку, домен автоматически добавится в Сопоставление с учетными записями LDAP, если прежде он не был добавлен.

       Если вы удалили пользовательский атрибут в Параметрах подключения к LDAP, удалите вручную строку с атрибутом из таблицы сопоставления в коллекторе. Информация об атрибутах учетных записей в KUMA обновляется каждый раз после того, как вы выполните импорт учетных записей.  

    2. Импортируйте учетные записи.
    3. В коллекторе в таблице Обогащение полей KUMA задайте правила сопоставления полей KUMA с атрибутами LDAP.
    4. Перезапустите коллектор.

       После перезапуска коллектора KUMA начнет обогащать события учётными записями.

        

14. Нажмите на кнопку Создать.

LDAP-подключение к Active Directory создано и отображается в окне Интеграция с LDAP-сервером.

Информация об учетных записях из Active Directory будет запрошена сразу после сохранения подключения, а затем будет обновляться с указанной периодичностью.

Если вы хотите использовать одновременно несколько LDAP-подключений для одного тенанта, вам нужно убедиться, что адрес контроллера домена, указанный в каждом из этих подключений, является уникальным. В противном случае KUMA позволяет включить только одно из этих подключений. Порт при проверке адреса контроллера домена на уникальность не проверяется.