Authentifizierungsserver
Auf der Seite Authentifizierungsserver werden Ihre vorhandenen Integrationen mit Authentifizierungsservern angezeigt. Sie können einen Server hinzufügen, indem Sie auf die Schaltfläche Server hinzufügen klicken.
Active Directory
Sie können OT Security mit dem Active Directory (AD) Ihrer Organisation integrieren. Dies ermöglicht es Benutzern, sich mit ihren Active Directory-Zugangsdaten bei OT Security einzuloggen. Im Rahmen der Konfiguration richten Sie die Integration ein und ordnen dann Gruppen in Ihrem AD zu Benutzergruppen in OT Security zu.
So konfigurieren Sie Active Directory:
-
Optional können Sie ein CA-Zertifikat von der Zertifizierungsstelle Ihrer Organisation oder vom Netzwerkadministrator beziehen und es auf Ihren lokalen Rechner laden.
-
Gehen Sie zu Lokale Einstellungen > Benutzerverwaltung > Authentifizierungsserver.
Das Fenster Authentifizierungsserver wird angezeigt.
-
Klicken Sie auf Server hinzufügen.
Der Bereich Authentifizierungsserver erstellen mit dem Servertyp wird geöffnet.
-
Klicken Sie auf Active Directory und dann auf Weiter.
Der Konfigurationsbereich Active Directory wird angezeigt.
-
Geben Sie im Feld Name den Namen ein, der im Login-Bildschirm verwendet werden soll.
-
Geben Sie im Feld Domäne den FQDN der Organisationsdomäne ein (z. B. firma.com).
Hinweis: Wenn Sie Ihren Domänennamen nicht kennen, können Sie nach ihm suchen, indem Sie den Befehl „set“ in die Windows-Eingabeaufforderung oder -Befehlszeile eingeben. Der für das Attribut „USERDNSDOMAIN“ angegebene Wert ist der Domänenname. -
Geben Sie im Feld Basis-DN den Distinguished Name der Domäne ein. Das Format für diesen Wert ist „DC={Domäne der zweiten Ebene},DC={Domäne der obersten Ebene}“ (z. B. DC=firma,DC=com).
-
Geben Sie für jede der Gruppen, die Sie aus einer AD-Gruppe einer OT Security-Benutzergruppe zuordnen möchten, den DN der AD-Gruppe in das entsprechende Feld ein.
Um beispielsweise eine Gruppe von Benutzern der Benutzergruppe „Administratoren“ zuzuweisen, geben Sie den DN der Active Directory-Gruppe, der Sie Administratorrechte zuweisen möchten, in das Feld Administratorgruppen-DN ein.
Hinweis: Wenn Sie den DN der Gruppe, der Sie OT Security-Berechtigungen zuweisen möchten, nicht kennen, können Sie eine Liste aller in Ihrem Active Directory konfigurierten Gruppen anzeigen, die Benutzer enthalten, indem Sie den Befehl dsquery group -name Users* in die Windows-Eingabeaufforderung oder -Befehlszeile eingeben. Geben Sie den Namen der Gruppe, die Sie zuweisen möchten, im gleichen Format ein, in dem er angezeigt wird (z. B. „CN=IT_Admins,OU=Gruppen,DC=Firma,DC=Com“). Der Basis-DN muss ebenfalls am Ende jedes DN enthalten sein.Hinweis: Diese Felder sind optional. Wenn ein Feld leer ist, werden dieser Benutzergruppe keine AD-Benutzer zugewiesen. Sie können eine Integration ohne zugeordnete Gruppen einrichten, aber in diesem Fall können erst dann Benutzer auf das System zugreifen, nachdem Sie mindestens eine Gruppenzuordnung hinzugefügt haben. -
(Optional) Klicken Sie im Abschnitt Vertrauenswürdige Zertifizierungsstelle auf Durchsuchen und navigieren Sie zu der Datei, die das CA-Zertifikat Ihrer Organisation enthält (das Sie von Ihrer Zertifizierungsstelle oder Ihrem Netzwerkadministrator erhalten haben).
-
Aktivieren Sie das Kontrollkästchen Active Directory aktivieren.
-
Klicken Sie auf Speichern.
In einer Meldung werden Sie zum Neustart des Geräts aufgefordert, um Active Directory zu aktivieren.
-
Klicken Sie auf Neu starten.
Das Gerät startet neu. Beim Neustart aktiviert OT Security die Active Directory-Einstellungen. Jeder Benutzer, der den festgelegten Gruppen zugewiesen ist, kann mit den Zugangsdaten der Organisation auf die OT Security-Plattform zugreifen.
Hinweis: Um sich über Active Directory einzuloggen, muss der Benutzerprinzipalname (User Principal Name, UPN) auf der Login-Seite verwendet werden. In einigen Fällen muss hierfür einfach nur „@<Domäne>.com“ zum Benutzernamen hinzugefügt werden.
LDAP
Sie können OT Security mit dem LDAP Ihrer Organisation integrieren. Dies ermöglicht es Benutzern, sich mit ihren LDAP-Zugangsdaten bei OT Security einzuloggen. Im Rahmen der Konfiguration richten Sie die Integration ein und ordnen dann Gruppen in Ihrem AD zu Benutzergruppen in OT Security zu.
So konfigurieren Sie LDAP:
-
Gehen Sie zu Lokale Einstellungen > Benutzerverwaltung > Authentifizierungsserver.
-
Klicken Sie auf Server hinzufügen.
Der Bereich Authentifizierungsserver hinzufügen mit dem Servertyp wird geöffnet.
-
Wählen Sie LDAP aus und klicken Sie dann auf Weiter.
Der Bereich LDAP-Konfiguration wird angezeigt.
-
Geben Sie im Feld Name den Namen ein, der im Login-Bildschirm verwendet werden soll.
Hinweis: Der Login-Name muss eindeutig sein und darauf hinweisen, dass er für LDAP verwendet wird. Falls sowohl LDAP als auch Active Directory konfiguriert sind, unterscheiden sich die verschiedenen Konfigurationen im Login-Bildschirm nur durch den Login-Namen. -
Geben Sie im Feld Server den FQDN oder die Login-Adresse ein.
Hinweis: Wenn Sie eine sichere Verbindung nutzen, empfiehlt Tenable, den FQDN anstelle einer IP-Adresse zu verwenden, um sicherzustellen, dass das bereitgestellte sichere Zertifikat verifiziert wird.Hinweis: Wenn ein Hostname verwendet wird, muss er in der Liste der DNS-Server im OT Security-System enthalten sein. Siehe Systemkonfiguration > Gerät. -
Geben Sie im Feld Port den Wert 389 ein, um eine nicht sichere Verbindung zu verwenden, oder 636, um eine sichere SSL-Verbindung zu nutzen.
Hinweis: Wenn Port 636 gewählt wird, ist ein Zertifikat erforderlich, um die Integration abzuschließen. -
Geben Sie im Feld Benutzer-DN den DN mit Parametern im DN-Format ein. Beispiel: Für den Servernamen „adsrv1.tenable.com“ kann der Benutzer-DN CN=Administrator,CN=Benutzer,DC=adsrv1,DC=tenable,DC=com lauten.
-
Geben Sie im Feld Passwort das Passwort des Benutzer-DN ein.
Hinweis: Die OT Security-Konfiguration mit LDAP funktioniert nur so lange, wie das Passwort des Benutzer-DN gültig ist. Falls sich das Passwort des Benutzer-DN ändert oder abläuft, muss daher auch die OT Security-Konfiguration aktualisiert werden. -
Geben Sie im Feld Basis-DN des Benutzers den Basis-Domänennamen im DN-Format ein. Beispiel: Für den Servernamen „adsrv1.tenable.com“ kann der Basis-DN des Benutzers OU=Benutzer,DC=adsrv1,DC=tenable,DC=com lauten.
-
Geben Sie im Feld Basis-DN der Gruppe den Basis-Domänennamen der Gruppe im DN-Format ein. Beispiel: Für den Servernamen „adsrv1.tenable.com“ kann der Basis-DN der Gruppe OU=Gruppe,DC=adsrv1,DC=tenable,DC=com lauten.
-
Geben Sie im Feld Domänenanhang die Standarddomäne ein, die an die Authentifizierungsanforderung angehängt wird, falls der Benutzer keine Domäne angewendet hat, in der er Mitglied ist.
-
Geben Sie in die relevanten Gruppennamenfelder die Tenable-Gruppennamen ein, die der Benutzer mit der LDAP-Konfiguration verwenden soll.
-
Wenn Sie Port 636 für die Konfiguration verwenden, klicken Sie unter Vertrauenswürdige Zertifizierungsstelle auf Durchsuchen und navigieren Sie zu einer gültigen PEM-Zertifikatdatei.
-
Klicken Sie auf Speichern.
OT Security startet den Server im Modus Deaktiviert.
-
Um die Konfiguration zu übernehmen, stellen Sie den Umschalter auf EIN.
Das Dialogfeld Systemneustart wird angezeigt.
-
Klicken Sie auf Jetzt neu starten, um das System sofort neu zu starten und die Konfiguration anzuwenden, oder auf Später neu starten, um das System vorübergehend ohne die neue Konfiguration weiterzuverwenden.
Hinweis: Die Aktivierung/Deaktivierung der LDAP-Konfiguration wird erst abgeschlossen, wenn das System neu gestartet wird. Wenn Sie das System nicht sofort neu starten, klicken Sie im Banner am oberen Bildschirmrand auf die Schaltfläche Neu starten, wenn Sie zum Neustart bereit sind.