Sicherheit/Benutzermanagement: Konfigurieren von Active Directory

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema wird erläutert, wie Sie NetWitness Suite so konfigurieren, dass externe Benutzeranmeldungen mit Active Directory authentifiziert werden.

Wenn sich ein Benutzer anmeldet, versucht NetWitness Suite zunächst, eine lokale Authentifizierung durchzuführen. Wenn kein lokaler Benutzer gefunden wird und die Active Directory-Konfiguration aktiviert ist, wird versucht, die Authentifizierung mit dem Active Directory-Service vorzunehmen. Im Modul „Administration“ können Sie in der Ansicht „Sicherheit“ auf der Registerkarte „Einstellungen“ Active Directory-Einstellungen konfigurieren, um die Authentifizierung externer Gruppen zu aktivieren.

In einer Umgebung mit mehreren Authentifizierungsservern ermöglicht die LDAP-Weiterleitung ein LDAP-Referral im Anschluss an den AD-Gruppen-Lookup. Die LDAP-Weiterleitung kann den Anmeldevorgang verlängern, da der AD-Gruppen-Lookup auf verbundene Authentifizierungsserver erweitert wird. Wenn Ihre AD-Instanz versucht, Domain-Controller zu kontaktieren, die von Ihrer Firewall blockiert werden, kann bei der Anmeldung bei NetWitness Suite eine Verzögerung von einigen Minuten auftreten. NetWitness Suite verfügt über eine Konfigurationsoption, die angibt, ob eine LDAP-Weiterleitung erfolgt. Standardmäßig sind LDAP-Referrals deaktiviert. Wenn diese Option deaktiviert ist, versucht Ihre AD-Instanz nicht, den Domain-Controller zu kontaktieren, auf den verwiesen wird.

Hinweis: Die Registerkarte „Einstellungen“ bietet auch die Option zum Aktivieren der PAM-Konfiguration, die gleichzeitig mit Active Directory-Konfigurationen verwendet werden kann. Weitere Informationen zum Aktivieren und Konfigurieren der PAM-Authentifizierung finden Sie unter Konfigurieren der PAM-Anmeldefunktion.

Methoden

Konfigurieren der Active Directory-Authentifizierung

  1. Navigieren Sie zu ADMIN > Sicherheit.
    Die Ansicht „Sicherheit“ wird mit geöffneter Registerkarte Benutzer angezeigt.
  2. Klicken Sie auf die Registerkarte Einstellungen.
    Die Liste der Active Directory-Konfigurationen wird im Bereich angezeigt, sodass Sie eine Konfiguration hinzufügen oder bearbeiten können.
    Dies ist ein Beispiel für den Abschnitt „Active Directory-Konfigurationen“.
  3. Sie können Domains nach Bedarf hinzufügen, bearbeiten oder löschen, wie in den folgenden Abschnitten beschrieben.
    Die Domains, die dieser Liste hinzugefügt wurden, werden automatisch auf der Registerkarte „Externe Gruppenzuordnung“ aufgeführt, sodass Sie jeder Gruppe Sicherheitsrollen zuordnen können.

Hinweis: Wie Sie Sicherheitsrollen für den Active Directory-Zugriff konfigurieren, erfahren Sie unter Schritt 5. (Optional) Zuordnen von Benutzerrollen zu externen Gruppen.

Hinzufügen einer neuen Active Directory-Konfiguration

So fügen Sie der Liste der Active Directory-Konfigurationen eine neue Active Directory-Konfiguration hinzu:

  1. Klicken Sie unter „Active Directory-Konfigurationen“ auf Hinzufügen-Symbol.
    Das Dialogfeld „Neue Konfiguration hinzufügen“ wird angezeigt.
    Dialogfeld „Neue Konfiguration hinzufügen“
  2. Aktivieren Sie das Kontrollkästchen Aktiviert.
  3. Geben Sie Informationen für Domain, Host und Port für den Active Directory-Service ein.
  4. (Optional) Um SSL für diese Konfiguration auszuwählen, aktivieren Sie das Kontrollkästchen SSL verwenden. Sie müssen dann eine Zertifikatdatei eingeben. Klicken Sie dazu auf Durchsuchen und wählen Sie die gewünschte hochzuladene Datei aus. Wenn der AD-Server ein öffentliches, von der Zertifizierungsstelle signiertes Zertifikat verwendet, müssen Sie kein Zertifikat hochladen. Wenn der AD-Server ein selbstsigniertes Zertifikat verwendet, müssen Sie das Zertifikat der Zertifizierungsstelle oder das selbstsignierte Zertifikat hochladen.
  5. Wählen Sie im Feld Benutzernamenszuordnung das Active Directory-Suchfeld aus, das Sie für die Benutzernamenszuordnung verwenden möchten. Sie können userPrincipalName (UPN) oder sAMAccountName auswählen.
  6. Für Sites mit mehreren Authentifizierungsservern klicken Sie auf Referrals befolgen, um die Befolgung von LDAP-Referrals nach AD-Gruppen-Lookups zu aktivieren oder zu deaktivieren.
  7. Um Anmeldedaten zur Bindung an den Active Directory-Service während der Suche der Active Directory-Gruppe bereitzustellen, geben Sie die Anmeldedaten in die Felder Benutzername und Passwort ein.

Hinweis: Wenn Sie im Feld Benutzernamenszuordnung den Eintrag „sAMAccountName“ ausgewählt haben, müssen Sie zur Authentifizierung den Benutzernamen im Format „Domain\Benutzer“ eingeben.

  1. Klicken Sie auf Speichern.
    Die neue Konfiguration wird in der Liste der Active Directory-Konfigurationen aufgeführt.

Bearbeiten einer Active Directory-Konfiguration

So bearbeiten Sie eine Active Directory-Konfiguration in der Liste der Active Directory-Konfigurationen:

  1. Wählen Sie unter Active Directory-Konfigurationen die zu bearbeitende Konfiguration aus und klicken Sie auf Symbol „Bearbeiten“.
    Das Dialogfeld „Konfiguration bearbeiten“ wird angezeigt.
    Dialogfeld „Konfiguration bearbeiten“
  2. (Optional) Geben Sie Informationen für Domain, Host und Port für den Active Directory-Service ein.
  3. (Optional) Um SSL für diese Konfiguration auszuwählen, aktivieren Sie das Kontrollkästchen SSL verwenden. Sie müssen dann eine Zertifikatdatei eingeben. Klicken Sie dazu auf Durchsuchen und wählen Sie die gewünschte Datei aus.
  4. (Optional) Wählen Sie im Feld Benutzernamenszuordnung das Active Directory-Suchfeld aus, das Sie für die Benutzernamenszuordnung verwenden möchten. 
  5. Zur Angabe des Verhaltens bei der LDAP-Referral-Befolgung in Umgebungen mit mehreren Authentifizierungsservern dient das Kontrollkästchen Referrals befolgen.
    1. Wenn Sie die LDAP-Weiterleitung deaktivieren möchten, deaktivieren Sie das Kontrollkästchen.
    2. Wenn Sie die LDAP-Weiterleitung aktivieren möchten, aktivieren Sie das Kontrollkästchen.
  6. Um Anmeldedaten zur Bindung an den Active Directory-Service während der Suche der Active Directory-Gruppe bereitzustellen, geben Sie die Anmeldedaten in die Felder Benutzername und Passwort ein.
  7. Klicken Sie auf Speichern.
    Die Konfiguration wird in der Liste der Active Directory-Konfigurationen aufgeführt.

Testen einer Active Directory-Konfiguration

So testen Sie eine Active Directory-Konfiguration:

  1. Wählen Sie die zu testende Konfiguration aus der Liste der Active Directory-Konfigurationen aus.
  2. Klicken Sie in der Symbolleiste auf Schaltfläche Testen.
    Eine Meldung wird angezeigt, dass der Test erfolgreich war.
  3. Wenn der Test fehlgeschlagen ist, überprüfen und bearbeiten Sie die Konfiguration.

Löschen einer Active Directory-Konfiguration 

So löschen Sie eine Active Directory-Konfiguration:

  1. Wählen Sie unter den Active Directory-Konfigurationen die Konfiguration auf, die aus der Liste der Active Directory-Konfigurationen gelöscht werden soll.
  2. Klicken Sie in der Symbolleiste auf Löschsymbol.
    Eine Warnmeldung wird angezeigt, dass alle Benutzer in der ausgewählten Active Directory-Konfiguration sich nicht bei NetWitness Suite anmelden können, werden diese gelöscht wird.
  3. Führen Sie einen der folgenden Schritte aus:
    1. Klicken Sie zum Bestätigen des Löschvorgangs auf Ja.
    2. Um den Löschvorgang abzubrechen, klicken Sie auf Nein.
You are here
Table of Contents > Einrichten von Systemsicherheit > Schritt 4. (Optional) Konfigurieren der externen Authentifizierung > Konfigurieren von Active Directory

Attachments

    Outcomes