Gestion de la sécurité/utilisateur : Configurer la fonctionnalité de connexion PAM

Document created by RSA Information Design and Development on Apr 26, 2018
Version 1Show Document
  • View in full screen mode
 

Cette rubrique explique comment configurer NetWitness Suite pour utiliser les modules PAM (Pluggable Authentication Modules) afin d'authentifier les connexions d'utilisateurs externes.

La fonctionnalité de connexion PAM comporte deux composants distincts :

  • PAM pour l'authentification de l'utilisateur
  • NSS pour l'autorisation de groupe

S'ils sont associés, ils offrent aux utilisateurs externes la fonctionnalité de se connecter à NetWitness Suite sans avoir de compte NetWitness Suite interne, et de recevoir des autorisations ou des rôles déterminés en mappant le groupe externe vers un rôle de sécurité NetWitness Suite. Les deux composants sont requis pour qu'une connexion réussisse.

L'authentification externe est un paramètre au niveau du système. Avant de configurer PAM, examinez attentivement toutes les informations ici.

Modules PAM (Pluggable Authentication Module)

PAM est une bibliothèque fournie par Linux, responsable de l'authentification des utilisateurs auprès des fournisseurs d'authentification tels que RADIUS, Kerberos ou LDAP. Pour la mettre en œuvre, chaque fournisseur d’authentification utilise son propre module, qui se présente sous la forme d’un package de système d’exploitation (OS), tel que pam_ldap. Pour authentifier les utilisateurs, NetWitness Suite utilise la bibliothèque PAM fournie par le système d’exploitation et le module que la bibliothèque PAM est configurée pour utiliser.

Remarque : Le module PAM fournit uniquement la possibilité de s'authentifier.

Name Service Switch

NSS est une fonction Linux qui fournit les bases de données que le système d'exploitation et les applications utilisent pour découvrir des informations comme les noms d'hôtes ; les attributs d'utilisateur comme le répertoire de base, le groupe principal et le shell de connexion ; et pour répertorier des utilisateurs qui appartiennent à un groupe donné. Semblable aux modules PAM, NSS est configurable et utilise des modules pour interagir avec les différents types de fournisseurs. NetWitness Suite utilise les fonctions NSS fournies par le système d’exploitation pour autoriser les utilisateurs PAM externes en recherchant si un utilisateur est connu sur NSS puis en demandant ensuite depuis NSS les groupes dont cet utilisateur est membre. NetWitness Suite compare les résultats de la demande au mappage de groupe externe NetWitness Suite et si un groupe correspondant est trouvé, l’utilisateur obtient un accès pour se connecter à la session NW avec le niveau de sécurité défini dans le mappage de groupe externe.

Remarque : NSS ne fournit pas d'authentification.

Association de PAM et NSS

Les opérations de PAM (authentification) et NSS (autorisation) doivent réussir pour qu'un utilisateur externe soit autorisé à se connecter à NetWitness Suite. La procédure de configuration et de dépannage de PAM est différente de celle de NSS. Les exemples concernant PAM dans ce guide comprennent Kerberos, LDAP et RADIUS. Les exemples de NSS incluent Samba, LDAP et UNIX. L'association de modules PAM et NSS utilisée est déterminée par les besoins du site.

Vue d’ensemble du processus

Pour configurer la fonction de connexion PAM, suivez les instructions de ce document pour effectuer chaque étape :

  1. Configurer et tester le module PAM.
  2. Configurer et tester le service NSS.
  3. Activer PAM dans Serveur NetWitness.
  4. Créer des mappages de groupe dans Serveur NetWitness.

Conditions préalables

Avant de commencer la configuration de PAM, passez en revue la procédure et recueillez les détails du serveur d'authentification externe en fonction du module PAM que vous souhaitez mettre en œuvre.

Avant de commencer la configuration de NSS, passez en revue la procédure, identifiez les noms des groupes que vous allez utiliser dans le mappage de groupe externe, puis recueillez les détails du serveur d'authentification externe, selon le service NSS utilisé.

Avant de commencer la configuration de PAM dans NetWitness Suite, identifiez les noms des groupes que vous allez utiliser dans le mappage de groupe externe. Lors du mappage des rôles, le rôle dans NetWitness Suite doit correspondre à un nom de groupe qui existe dans le serveur d'authentification externe.

Configurer et tester le module PAM

Choisissez l'une des sections suivantes pour installer et configurer le composant PAM :

  • PAM Kerberos
  • PAM LDAP
  • PAM Radius
  • SecurID

PAM Kerberos

Ports de communication Kerberos - TCP 88

Pour configurer l'authentification PAM avec Kerberos :

  1. Exécutez la commande suivante (en vérifiant d’abord que le package krb5-workstation est installé dans votre environnement) :
    yum install krb5-workstation pam_krb5  
  2. Modifiez les lignes suivantes dans le fichier de configuration Kerberos /etc/krb5.conf. Remplacez les variables, qui sont délimitées par des <crochets>, par vos valeurs et en omettant les crochets. La mise en majuscules est obligatoire aux emplacements indiqués.

    # Configuration snippets may be placed in this directory as well
    includedir /etc/krb5.conf.d/

    [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log

    [libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    dns_lookup_kdc = true
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    default_realm = <DOMAIN.COM>
    default_ccache_name = KEYRING:persistent:%{uid}

    [realms]
    <DOMAIN.COM> = {
    kdc = <SERVER.DOMAIN.COM>
    admin_server = <SERVER.DOMAIN.COM>
    }

    [domain_realm]
    <domain.com> = <DOMAIN.COM>
    <.domain.com> = <DOMAIN.COM>
  3. Testez la configuration Kerberos avec la commande :
    kinit <user>@<DOMAIN.COM>
    S'il n'y a aucune sortie après la saisie du mot de passe, c'est que l'opération a réussi.
  4. Modifiez le Serveur NetWitnessfichier de configuration PAM/etc/pam.d/securityanalytics pour ajouter la ligne suivante. Si le fichier n'existe pas, créez-le et ajoutez la ligne suivante :
    auth sufficient pam_krb5.so no_user_check

Ceci termine la configuration de PAM Kerberos. Maintenant, passez à la section suivante, Configurer et tester le service NSS.

PAM LDAP

Ports de communication LDAP - TCP 389 or TCP 636

TCP 389 peut être utilisé pour à la fois le trafic déchiffré et dans la plupart des cas, le trafic chiffré, ce qui suffit souvent. La plupart des implémentations LDAP modernes prennent en charge la commande start_tls lors de la connexion du port 389, qui met à niveau la connexion d'un état déchiffré en passant à l'état chiffré. Dans cette instance, les URI LDAP commencent toujours avec ldap:// même en utilisant start_tls.

TCP 636 est utilisé uniquement dans les instances où le serveur LDAP ne prend pas en charge la commande start_tls. Dans ce cas, les URI LDAP commencent par ldaps:// et la commande start_tls n'est pas utilisée.

Pour configurer l'authentification PAM avec LDAP :

  1. Exécutez la commande suivante (en vérifiant d’abord que le package openldap-clients est installé dans votre environnement) :
    yum install nss-pam-ldapd openldap-clients
  2. Modifiez les fichiers de configuration LDAP /etc/nslcd.conf comme indiqué dans l’exemple suivant :

Remarque : Remplacez les variables, qui sont délimitées par des <crochets>, par vos valeurs et en omettant les crochets. La mise en majuscules est obligatoire aux emplacements indiqués.

Exemples d’entrées de fichiers /etc/nslcd.conf :
uri ldap://<server.domain.com>
base <dc=domain,dc=com>
binddn <cn=bineuser,dc=domain,dc=com>
bindpw <secret>

  1. Après avoir modifié le fichier /etc/nslcd.conf, exécutez la commande suivante :
    systemctl restart nslcd
  2. (Facultatif) Pour activer le transport sécurisé pour la communication LDAP avec vérification de certificat homologue (plus sécurisée), reportez-vous à la page man de Linux pour nslcd sur la modification de code appropriée pour le fichier /etc/nslcd.conf.

Remarque : Les contrôleurs de domaine Windows n'activent pas par défaut le transport LDAP sécurisé. Ils requièrent l'installation d'un certificat de serveur pour l'authentification serveur. L'obtention et l'installation de ce certificat en CC ne sont pas traités dans le cadre de ce document. Quelques indications à ce sujet sont disponibles à l'adresse https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx.

  1. (Facultatif) Pour activer le transport sécurisé pour la communication LDAP sans certificat homologue, reportez-vous à la page man de Linux pour nslcd sur la modification de code appropriée pour le fichier/etc/nslcd.conf.
  2. Pour dépanner la configuration LDAP, arrêtez d'abord le service nslcd en saisissant la commande suivante :
    systemctl stop nlscd
  3. Pour copier les informations de dépannage et d'état du service à la console, exécutez le service nslcd en mode débogage à partir de la ligne de commande :
    nslcd -d
  4. Modifiez le Serveur NetWitnessfichier de configuration PAM/etc/pam.d/securityanalytics pour ajouter la ligne suivante. Si le fichier n'existe pas, créez-le et ajoutez la ligne suivante :
    auth sufficient pam_ldap.so

Ceci termine la configuration de PAM LDAP. Maintenant, passez à la section suivante, Configurer et tester le service NSS.

PAM Radius

Ports de communication Radius- UDP 1812 ou UDP 1813

Pour configurer l'authentification PAM à l’aide de Radius, vous devez ajouter Serveur NetWitness à votre liste de client de serveur Radius et configurer un code secret partagé. Contactez l'administrateur du serveur Radius pour cette procédure.

Pour configurer l'authentification PAM pour Radius avec LDAP :

  1. Exécutez la commande suivante (en vérifiant d’abord que le package pam_radius est installé dans votre environnement) :
    yum install pam_radius
  2. Modifiez le fichier de configuration Radius /etc/raddb/server comme suit :
    # server[:port] shared_secret  timeout (s)
    server          secret         3
  3. Modifiez le Serveur NetWitnessfichier de configuration PAM/etc/pam.d/securityanalytics pour ajouter la ligne suivante. Si le fichier n'existe pas, créez-le et ajoutez la ligne suivante :
    auth sufficient pam_radius_auth.so

Attention : Pour que PAM RADIUS fonctionne, les fichiers /etc/raddb/server doivent disposer d’une autorisation d’écriture. La commande nécessaire pour cela est : chown netwitness:netwitness /etc/raddb/server.

Les modules PAM et les services associés information envoient des informations à /var/log/messages et /var/log/secure. Ces sorties peuvent être utilisées pour aider à résoudre des problèmes de configuration.

La procédure suivante est un exemple des étapes à suivre pour configurer l’authentification PAM pour Radius à l’aide de SecurID :

Remarque : Les exemples de ces tâches utilisent RSA Authentication Manager en tant que serveur Radius.

  1. Exécutez la commande suivante (en vérifiant d’abord que le package pam_radius est installé dans votre environnement) :

    yum install pam_radius

  2. Modifiez le fichier de configuration Radius, /etc/raddb/server puis mettez-le à jour avec le nom d’hôte de l’instance Authentication Manager, avec le code secret partagé et avec le délai d’expiration :

    # server[:port] shared_secret timeout (s)

    111.222.33.44 secret 1

    #other-server other-secret 3

    192.168.12.200:6369 securid 10

    Remarque : Vous devez commenter les lignes 127.0.0.1 et other-server puis ajouter l’adresse IP de l’instance Authentication Manager principale avec un numéro de port Radius (par exemple, 192.168.12.200:1812), un code secret partagé Radius et une valeur d’expiration du délai de 10.

  3. Modifiez le Serveur NetWitnessfichier de configuration PAM/etc/pam.d/securityanalytics pour ajouter la ligne suivante. Si le fichier n'existe pas, créez-le et ajoutez la ligne suivante :

    auth sufficient pam_radius_auth.so

    Remarque : Vous pouvez ajouter debug à la fin de la ligne ci-dessus dans le fichier /etc/pam.d/securityanalytics pour permettre le débogage PAM (par exemple, auth sufficient pam_radius_auth.so debug)

Les modules PAM et les services associés envoient des informations à /var/log/messages et /var/log/secure. Ces sorties peuvent être utilisées pour aider à résoudre des problèmes de configuration.

Ajouter un Client Radius et un Agent associé.

Remarque : Les exemples de ces tâches utilisent RSA Authentication Manager en tant que serveur Radius.
Vous devez utiliser les informations d’identification du compte d’administrateur pour vous connecter à la Console de sécurité de RSA Authentication Manager.

Pour ajouter un Client Radius et un Agent associé :

  1. Connectez-vous à RSA Authentication Manager.
    La Console de sécurité s’affiche.
  2. Dans la Console de sécurité, cliquez sur RADIUS > Clients RADIUS > Ajouter nouveau.
    La page Ajouter un Client RADIUS s’affiche.
    Image de la Console de sécurité RSA pour les paramètres Ajouter un client RADIUS
  3. Dans les paramètres Client RADIUS, fournissez les informations suivantes :
    1. Dans le champ Nom du client, saisissez le nom du client, par exemple NetWitness Suite.
    2. Dans le champ Adresse IPv4, indiquez l'adresse IPv4 du client Radius, par exemple 192.168.12.108.
    3. Dans la liste déroulante Marque/Modèle, sélectionnez le type de client Radius, par exemple Fortinet.
    4. Dans le champ Code secret partagé, saisissez le code secret partagé d’authentification.
  4. Cliquez sur Enregistrer et créer un agent RSA associé.
    Image de la page Ajouter un nouvel Agent d’authentification.
  5. Cliquez sur Enregistrer.

Si l’Instance Authentication Manager ne peut pas trouver l’agent d’authentification sur le réseau, une page d’avertissement s’affiche. Cliquez sur Oui, enregistrer l’Agent.

Pour plus d’informations, consultez la rubrique Ajouter un client RADIUS du Guide d’administrateur de RSA Authentication Manager 8.2.

Ceci termine la configuration de PAM Radius. Maintenant, passez à la section suivante, Configurer et tester le service NSS.

Agent PAM pour SecurID

Port de communication PAM - UDP 5500

Conditions préalables
Le module RSA SecurID PAM est pris en charge uniquement dans les conditions suivantes :

  1. Les connexions approuvées doivent être activées et fonctionner entre NetWitness Suite et les services de base.

Vue d’ensemble du processus

Voici les étapes générales de configuration du module SecurID PAM :

  1. Configurez Authentication Manager :
    a. Ajouter un agent d'authentification.
    b. Télécharger le fichier de configuration.
  2. Configurer Serveur NetWitness :
    a. Copiez le fichier de configuration à partir d'Authentication Manager et personnalisez-le.
    b. Installez le module PAM SecurID.
  3. Tester la connectivité et l'authentification.

Suivez ensuite les procédures restantes dans les sections qui suivent :

  • Configurez NSS.
  • Activez PAM dans Serveur NetWitness.
  • Configurez les mappages de groupe dans Serveur NetWitness.

Pour configurer Authentication Manager :

  1. Connectez-vous à RSA Authentication Manager.
    La Console de sécurité s'affiche.
    Image de la Console de sécurité d’Authentication Manager
  2. Dans la Console de sécurité, ajoutez un nouvel Agent d'authentification.
    Cliquez sur Accès > Agents d'authentification > Ajouter nouveau.
    La page Ajouter un nouvel agent d'authentification s'affiche.
    Image de la page Ajouter un nouvel Agent d’authentification.
  3. Dans le champ Nom d'hôte, saisissez le nom d’hôte de Serveur NetWitness.
  4. Cliquez sur Résoudre l’adresse IP.
    L'adresse IP de Serveur NetWitness s'affiche automatiquement dans le champ Adresse IP.
  5. Conservez les paramètres par défaut et cliquez sur Enregistrer.
  6. Générer un fichier de configuration.
    Cliquez sur Accès > Agents d'authentification > Générer le fichier de configuration.
    La page Générer le fichier de configuration s'affiche.
    Image de la page Générer le fichier de configuration.
  7. Conservez les valeurs par défaut et cliquez sur Générer le fichier de configuration.
    Cela crée AM_Config.zip, qui contient deux fichiers.
  8. Cliquez sur Téléchargez maintenant.

Pour installer et configurer le module SecurID PAM :

  1. Sur Serveur NetWitness, créez un répertoire :
    mkdir /var/ace
  2. Sur Serveur NetWitness, copiez sdconf.rec à partir du fichier .zip dans /var/ace.
  3. Créez un fichier texte sdopts.rec dans le répertoire /var/ace.
  4. Insérez la ligne suivante :
    CLIENT_IP=<IP address of Serveur NetWitness>
  5. Installez l'Agent d'autorisation SecurID pour PAM, qui est disponible dans le dépôt yum :
    yum install sid-pam-installer
  6. Exécutez le script d'installation :
    /opt/rsa/pam-agent-installer/install_pam.sh
  7. Suivez les instructions pour accepter ou modifier les valeurs par défaut. 
  8. Modifiez le Serveur NetWitnessfichier de configuration PAM/etc/pam.d/securityanalytics pour ajouter la ligne suivante. Si le fichier n'existe pas, créez-le et ajoutez la ligne suivante :
    auth sufficient pam_securid.so

Ceci termine l'installation du module PAM SecurID.  Ensuite, testez la connectivité et l'authentification. Puis suivez les procédures de Configurer et tester le service NSS.

Remarque : Si la configuration de PAM SecurID n’est pas terminée, il est probable que le serveur Jetty se bloque et l’interface utilisateur NetWitness Suite ne s’affiche pas. Vous devez attendre que la configuration de l’authentification PAM soit terminée, puis redémarrer le serveur Jetty.

Pour tester la connectivité et l'authentification :

  1. Exécutez /opt/pam/bin/64bit/acetest, saisissez le nom d'utilisateur et le code secret
  2. (Facultatif) Si acetest échoue, activez le débogage :
    vi/etc/sd_pam.conf
    RSATRACELEVEL=15
  3. Exécutez /opt/pam/bin/64bit/acestatus. Sortie ci-dessous

RSA ACE/Server Limits
---------------------
Configuration Version : 15 Client Retries : 5 
Client Timeout : 5 DES Enabled : Yes 

RSA ACE/Static Information
--------------------------
Service : securid Protocol : udp Port Number : 5500 

RSA ACE/Dynamic Information
---------------------------
Server Release : 8.1.0.0 Communication : 5

RSA ACE/Server List
-------------------
Server Name :           auth81.netwitness.local
Server Address :        192.168.100.10
Server Active Address : 192.168.100.10
Master : Yes Slave : No Primary : Yes 
Usage : Available for Authentications

  1. (Facultatif) Pour dépanner le serveur Authentication Manager,
    cliquez sur Reporting > Moniteurs d'activité en temps réel > Moniteur d'activité d'authentification.
    Ensuite, cliquez sur Démarrer le moniteur.
  2. Si vous avez modifié le paramètre, réinitialisez RSATRACELEVEL sur 0 :
    vi/etc/sd_pam.conf
    RSATRACELEVEL=0

Attention : Après l'installation, vérifiez que VAR_ACE dans le fichier /etc/sd_pam.conf pointe vers l'emplacement correct du fichier sdconf.rec. Il s'agit du chemin vers les fichiers de configuration. La commande nécessaire pour cela est : chown -R netwitness:netwitness /var/ace.

Ceci termine la configuration de l'agent PAM pour SecurID. Maintenant, passez à la section suivante, Configurer et tester le service NSS.

Configurer et tester le service NSS

Choisir un service NSS

Il existe trois options de service NSS : Samba, LDAP et UNIX. Les trois comportent des avantages et des inconvénients.

                           
Avantages de NSS SambaInconvénients de NSS Samba
Objectif construit pour Active DirectoryNe peut être utilisé avec des back-ends non-AD
Peu ou pas de configuration doit être effectuée dans Active DirectoryPotentiellement plus difficile à configurer et dépanner
Pas de comptes utilisateurs spéciaux nécessairesNécessite que la machine Serveur NW soit associée au domaine Active Directory
 Utilise de nombreux ports pour communiquer avec Active Directory ; plus difficile à mettre en œuvre au travers des pare-feux et proxys

 

                         
Avantages de NSS LDAPInconvénients de NSS LDAP
La configuration de base est simplePeut nécessiter une configuration et des rôles supplémentaire à l'intérieur de Active Directory
Peut communiquer avec toute mise en œuvre de LDAPNécessite la configuration d'un compte de liaison LDAP
Utilise un seul port TCP pour la communication - plus facile de travailler avec des pare-feux et proxyPlus difficile d'activer le transport sécurisé à moins de le configurer pour ne pas valider les certificats de serveur
Ne nécessite pas d'associer un hôte NW au domaine AD 

NSS UNIX

Aucune configuration n'est nécessaire pour activer le module NSS UNIX ; il est activé dans le système d'exploitation hôte par défaut. Pour autoriser un utilisateur pour un groupe spécifique, il suffit de l'ajouter au système d'exploitation et de l'ajouter à un groupe :

  1. Créez un groupe de systèmes d'exploitation à ajouter à votre utilisateur externe avec cette commande :
    groupadd <groupname>
  2. Ajoutez l'utilisateur externe au système d'exploitation avec cette commande :
    adduser -G <groupname> -M -N <externalusername>

Remarque : Notez que cette opération ne permet PAS ni autorise l'accès à la console Serveur NW.

Ceci termine la configuration de NSS UNIX. Ensuite, passez à la section Tester la fonctionnalité NSS.

NSS Samba

Ports de communication Winbind AD

Les ports suivants sont les ports minimums. Les tests internes indiquent qu'ils doivent être ouverts pour autoriser la fonctionnalité NSS Samba. Ces informations sont fournies uniquement à titre de référence.

TCP 88 - Kerberos
TCP 139 - Netbios
TCP 389 - LDAP
UDP 53 - DNS
UDP 88 - Kerberos
UDP 389 - LDAP

Des ports supplémentaires peuvent être nécessaires, en fonction des exigences propres sur site de la mise en œuvre. Des ports supplémentaires peuvent être nécessaires, en fonction des exigences propres sur site de la mise en œuvre : http://technet.microsoft.com/en-us/library/dd772723(ws.10).aspxhttp://technet.microsoft.com/en-us/library/dd772723%28ws.10%29.aspx

Pour configurer NSS Samba :

  1. Modifiez le fichier de configuration Samba, /etc/samba/smb.conf, comme suit. Remplacez les variables, qui sont délimitées par des <crochets>, par vos valeurs et en omettant les crochets. La mise en majuscules est obligatoire aux emplacements indiqués.
    [global]
    workgroup = domain
    netbios name = <NW_APPLIANCE_HOSTNAME>
    password server = <ADSERVER.DOMAIN.COM>
    realm = <DOMAIN.COM>

    local master = no
    security = ads
    syslog only = yes
    log file = /var/log/samba/log.%m
    max log size = 5120
    idmap config * : range = 16777216-33554431
    template shell = /bin/bash
    winbind use default domain = true
    winbind offline logon = false
    winbind enum groups = yes
  2. Pour activer et démarrer le service de liaison de Windows, winbind, saisissez les commandes suivantes :
    systemctl enable winbind
    systemctl start winbind
  3. Modifiez le fichier de configuration NSS, /etc/nsswitch.conf. Mettez à jour uniquement les 2 entrées ci-dessous et laissez le reste sur les valeurs par défaut :
    passwd:     files winbind
    group:      files winbind
  4. Pour associer le domaine, saisissez la commande suivante :
    net ads join -U <DomainAdminUser>
  5. Pour stocker le SID du contrôleur de domaine, saisissez la commande suivante :
    net rpc getsid -S <SERVER.DOMAIN.COM>
  6. Testez la fonctionnalité NSS comme décrit dans la section Tester la fonctionnalité NSS.  
  7. Lorsque vous avez confirmé que NSS fonctionne correctement à partir de la ligne de commande, pour redémarrer l'hôte pour que les modifications NSS prennent effet, saisissez la commande suivante.
    reboot

Pour dépanner NSS Samba :

Pour vérifier si NSS Winbind peut communiquer avec succès avec Active Directory :

  1. Saisissez les commandes suivantes :
    wbinfo -u pour renvoyer la liste des utilisateurs AD
    wbinfo -g pour retourner une liste des groupes AD
  2. Si aucune commande ne fonctionne, exécutez winbind dans la console en mode de débogage en saisissant les commandes suivantes :
    systemctl stop winbind
    winbindd -S -F -d <optional debugleve 0-10>
  3. À partir d'une session ssh séparée, répétez l'étape 1 et vérifiez la sortie winbindd pour obtenir l'indication du problème.
    Augmentez le degré d'explicitation du débogage de winbindd le cas échéant.
  4. Effectuez les ajustements nécessaires pour /etc/samba/smb.conf.
  5. Dans la fenêtre de débogage winbindd de l’étape 2, arrêtez winbindd en saisissant CTRL-C
    Répétez les étapes 1 et 2 et continuez le dépannage jusqu'à ce que les commandes wbinfo réussissent.
  6. Après le succès des commandes wbinfo, utilisez les commandes getent de la section Test de la fonctionnalité NSS de ce guide pour tester NSS.
    getent passwd <pamUser>
    getent group <groupOfPamUser>
  7. Lorsque la commande getent réussit, arrêtez la ligne de commande winbindd en saisissant CTRL-C et saisissez la commande suivante pour démarrer le processus du service :
    systemctl start winbind

Si wbinfo -g réussit depuis la ligne de commande, mais que la recherche du mappage de groupe externe ne présente aucun des groupes Active Directory :

  1. Ajoutez les lignes suivantes à /etc/samba/smb.conf :
    allow trusted domains = no
  2. Saisissez systemctl restart winbind .

Ceci termine la configuration de NSS Samba. Ensuite, passez à la section Tester la fonctionnalité NSS.

NSS LDAP

Remarque : Ces instructions exigent que tous les utilisateurs PAM et les objets des groupes NSS de Active Directory comportent la valeur de leurs attributs uidNumber et gidNumber sur des numéros UID et GID de style UNIX afin d'être utilisés par NSS LDAP. Les anciens schémas Active Directory peuvent ne pas avoir ces attributs par défaut. Les nouveaux schémas AD peuvent comporter ces attributs, mais ils ne peuvent pas être définis dans chaque objet. La configuration correcte de ces attributs n'entre pas dans le cadre du présent document. Contactez votre administrateur Active Directory pour que ces attributs soient définis pour les utilisateurs PAM et les groupes NSS.

Un utilisateur de liaison LDAP doit être créé dans Active Directory pour utiliser NSS. Cet utilisateur doit être configuré pour que son mot de passe n'expire pas. Étant donné que ces informations d'identification doivent être spécifiées pour le service NSS LDAP en clair, les autorisations de /etc/nslcd.conf doivent être laissées sur 600 (leur valeur par défaut) de sorte que le fichier ne puisse être lu par des utilisateurs du système autres que racine.

LDAP Communication Ports - TCP 389 or TCP 636

TCP 389 peut être utilisé pour à la fois le trafic déchiffré et dans la plupart des cas, le trafic chiffré, ce qui suffit souvent. La plupart des implémentations LDAP modernes prennent en charge la commande start_tls lors de la connexion du port 389, qui met à niveau la connexion d'un état déchiffré en passant à l'état chiffré. Dans cette instance, les URI LDAP commencent toujours avec ldap:// même en utilisant start_tls.

TCP 636 est utilisé uniquement dans les instances où le serveur LDAP ne prend pas en charge la commande start_tls.  Dans cette instance, les URI LDAP commencent par ldaps:// et la commande start_tls n'est pas utilisée.

Pour configurer le module NSS pour LDAP avec Active Directory :

  1. Obtenez le package nss-pam-ldapd à partir du référentiel SMCUPDATE ou à partir du référentiel des mises à jour Serveur NetWitness si le serveur est synchronisé avec SMCUPDATE. Cela nécessite un compte Live configuré dans NetWitness Suite.
  2. Pour installer le package, exécutez la commande suivante :
    yum install nss-pam-ldapd
  3. Modifiez /etc/nslcd.conf pour inclure les lignes ci-dessous, en vous assurant que les lignes existantes dans le fichier commencent d'abord par un caractère dièse # au début de la ligne :
    uid nslcd
    gid ldap
    uri ldap://<server.domain.com>
    base <dc=domain,dc=com>
    binddn <cn=binduser,dc=domain,dc=com
    bindpw <secret>

    Remarque : Vous devrez ajouter des mappages supplémentaires entre les recherches NSS et recherches LDAP pour votre environnement spécifique. Reportez-vous à la page man de Linux pour nslcd pour obtenir des informations spécifiques.
  4. (Facultatif) Pour activer le transport sécurisé pour la communication LDAP avec vérification de certificat homologue (plus sécurisée), reportez-vous à la page man de Linux pour nslcd sur la modification de code appropriée pour le fichier /etc/nslcd.conf.

Remarque : Les contrôleurs de domaine Windows n'activent pas par défaut le transport LDAP sécurisé. Ils requièrent l'installation d'un certificat de serveur pour l'authentification serveur. L'obtention et l'installation de ce certificat en CC ne sont pas traités dans le cadre de ce document. Quelques indications à ce sujet sont disponibles à l'adresse https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx

  1. (Facultatif) Pour activer le transport sécurisé pour la communication LDAP sans certificat homologue, reportez-vous à la page man de Linux pour nslcd sur la modification de code appropriée pour le fichier /etc/nslcd.conf.
  2. Modifiez le fichier de configuration de NSS /etc/nsswitch.conf. Mettez à jour uniquement les deux entrées ci-dessous et laissez le reste sur les valeurs par défaut :
    passwd:files ldap
    group:files ldap
  3. Pour activer et démarrer le service NSLCD, saisissez ces commandes :
    systemctl enable nslcd
    systemctl start nslcd
  4. Testez la fonctionnalité NSS à l'aide des conseils de la section Tester la fonctionnalité NSS. Si les tests NSS échouent, dépannez NSS LDAP comme décrit dans Dépanner NSS LDAP.
  5. Lorsque vous avez confirmé que NSS fonctionne correctement à partir de la ligne de commande, redémarrez l'hôte pour que les modifications NSS prennent effet.
    reboot

Pour dépanner NSS LDAP :

  1. Pour dépanner NSS LDAP, arrêtez d'abord le service nslcd en saisissant la commande suivante :
    systemctl stop nslcd
  2. Pour copier les informations de dépannage et d'état du service sur la console, exécutez le service nslcd en mode débogage à partir de la ligne de commande.
    nslcd -d
  3. (Facultatif) Pour augmenter le degré d'explicitation du débogage, ajoutez un d supplémentaire plusieurs fois à la fin de nslcd -d, par exemple, saisissez la commande suivante :
    nslcd -ddd
  4. À partir d'une session ssh distincte, utilisez les commandes getent de la section Test de la fonctionnalité NSS de ce guide pour tester NSS. Surveillez la sortie de débogage à partir de nslcd pour obtenir les indications de l'endroit où l'échec se produit.  Augmentez le degré d'explicitation du débogage de nslcd le cas échéant.
    getent passwd <pamUser>
    getent group <groupOfPamUser>
  5. Effectuez les ajustements nécessaires dans /etc/nslcd.conf en fonction de la sortie de l'étape 2 ou 3.
  6. Dans la fenêtre de débogage nslcd de l'étape 2 ou 3, arrêtez nslcd avec CTRL-C.  Répétez l'étape 2 ou 3 et continuez le dépannage jusqu'à ce que les commandes getent réussissent.
  7. Lorsque getent réussit, arrêtez la ligne de commande nslcd et démarrez le processus du service :
    systemctl start nslcd

Les problèmes courants peuvent comprendre :

  • Le certificat SSL de transport sécurisé LDAP qui n'est pas installé sur le serveur LDAP/AD.
  • Échec de vérification de certificat d’autorité de certification : commentez la ligne tls_cacert dans /etc/nslcd.conf et essayez tls_reqcert never.  Si elle réussit, vous savez quelle vérification du certificat est un échec.
    • Le certificat CA racine n'est pas au format PEM.
    • Utilisez le certificat de l'autorité de certification émettrice plutôt que le certificat de l'autorité de certification racine.
    • Le nom du certificat SSL du serveur LDAP ne correspond pas à son nom d'hôte.
  • Nom unique de base incorrect.
  • L'utilisateur ou le mot de passe de liaison LDAP n'est pas spécifié correctement.
  • En spécifiant de façon incorrecte ldaps:// au lieu de ldap:// dans la ligne uri de /etc/nslcd.conf. ldaps:// doit uniquement être utilisé avec LDAPS mais pas la commande start_tls.
  • Les utilisateurs et les groupes Active Directory ne disposent pas d'attributs uidNumber ou gidNumber définis.
  • Le pare-feu réseau bloque les communications.
  • Le nom d'hôte du serveur LDAP spécifié ne peut pas être résolu
    • Paramètres DNS incorrects dans /etc/resolv.conf.
    • Nom d’hôte incorrect spécifié à la ligne uri de /etc/nslcd.conf.

Ceci termine la configuration de NSS LDAP. Ensuite, passez à la section Tester la fonctionnalité NSS.

Tester la fonctionnalité NSS

Pour tester si NSS fonctionne avec l'un des services NSS précédents, utilisez les commandes suivantes :

getent passwd <pamUser>
getent group <groupOfPamUser>

La sortie doit être similaire à :

[root@~]# getent passwd myuser
myuser:*:10000:10000::/home/myuser:/bin/sh

[root@~]# getent group mygroup
mygroup:*:10000:myuser3

  • Si aucune commande ne produit de sortie, l'autorisation externe ne fonctionne pas correctement sur NSS. Reportez-vous aux conseils de dépannage de votre module NSS fournis dans ce document.
  • Si les commandes getent fonctionnent et que la réussite de l'authentification est confirmée dans /var/log/secure mais que NetWitness Suite ne parvient toujours pas à autoriser les utilisateurs externes à se connecter :
    • Est-ce que le nom de groupe correct a été spécifié pour le groupe NSS dans le mappage de groupe externe NW ?  Reportez-vous aux sections ci-dessous Activer PAM et Créer des mappages de groupe.
    • Il se peut que la configuration NSS ait changé et que NetWitness Suite n'ait pas relevé le changement.  Un redémarrage de l'hôte NetWitness Suite entraînera l'application des modifications de configuration NSS par NetWitness Suite.  Un redémarrage de jetty n'est pas suffisant.

Passez à la section suivante, Activer PAM dans Serveur NetWitness.

Activer PAM dans Serveur NetWitness

  1. Dans NetWitness Suite, accédez à ADMIN > Sécurité.
    La vue Administrateur > Sécurité s'ouvre avec l'onglet Utilisateurs ouvert.
  2. Cliquez sur l'onglet Paramètres.
  3. Sous Authentification PAM, sélectionnez Activer l’authentification PAM , puis cliquez sur Appliquer.
    Voici une capture d‘écran de la section Authentification PAM.

Tester l'authentification PAM

Pour tester l'authentification externe PAM :

  1. Accédez à ADMIN > Sécurité.
    La vue Sécurité s'affiche avec l'onglet Utilisateurs ouvert.
  2. Cliquez sur l'onglet Paramètres.
  3. Sous Authentification PAM, sélectionnez Activer l’authentification PAM.
    Image de l’authentification PAM et des sections Configurations Active Directory de l’onglet Paramètres
  4. Sous les options Authentification PAM, cliquez sur Tester.
    La boîte de dialogue Test d'authentification PAM s'affiche.
    Image de la boîte de dialogue Test d’authentification PAM demandant un nom d’utilisateur et un mot de passe
  5. Saisissez un nom d'utilisateur et un mot de passe que vous voulez tester pour l'authentification avec la configuration PAM actuelle.
  6. Cliquez sur Tester.
    La méthode d'authentification externe est testée pour assurer la connectivité.
  7. Si le test n’aboutit pas, passez en revue et modifiez la configuration.

L’authentification PAM est activée, et les configurations Active Directory restent également activées. Les configurations PAM sont automatiquement renseignées dans l’onglet Mappage de groupe externe pour vous permettre de mapper des rôles de sécurité pour chaque groupe. Pour configurer les rôles de sécurité utilisés pour accéder à PAM, reportez-vous à l’Étape 5. (Facultatif) Mapper des rôles d'utilisateur aux groupes externes.

You are here
Table of Contents > Configurer la sécurité du système > Étape 4.  (Facultatif) Configurer l'authentification externe > Configurer la fonctionnalité de connexion PAM

Attachments

    Outcomes