Authentifizierung mit LDAP

Tenable Identity Exposure ermöglicht Ihnen die Authentifizierung über das Lightweight Directory Access Protocol (LDAP).

Um die LDAP-Authentifizierung zu aktivieren, müssen folgende Voraussetzungen erfüllt sein:

  • Ein vorkonfiguriertes Dienstkonto mit einem Benutzer und einem Passwort für den Zugriff auf das Active Directory.

  • Eine vorkonfigurierte Active Directory-Gruppe.

Nachdem Sie die LDAP-Authentifizierung eingerichtet haben, wird die LDAP-Option auf einer Registerkarte auf der Login-Seite angezeigt.

So konfigurieren Sie die LDAP-Authentifizierung:

  1. Klicken Sie in Tenable Identity Exposure auf Systeme > Konfiguration.

    Daraufhin öffnet sich der Konfigurationsbereich.

  2. Klicken Sie unter dem Abschnitt Authentifizierung auf LDAP.

  3. Klicken Sie auf die Umschalttaste LDAP-Authentifizierung aktivieren, um sie zu aktivieren.

    Daraufhin wird ein Formular mit LDAP-Informationen angezeigt.

  4. Geben Sie folgende Informationen an:

  • Geben Sie im Feld Dienstkonto zum Abfragen des LDAP-Servers den Distinguished Name (DN), SamAccountName oder UserPrincipalName ein, den Sie für den Zugriff auf den LDAP-Server verwenden.

  • Geben Sie im Feld Dienstkontopasswort das Passwort für dieses Dienstkonto ein.

  • Geben Sie im Feld LDAP-Suchbasis das LDAP-Verzeichnis ein, das Tenable Identity Exposure verwendet, um nach Benutzern zu suchen, die versuchen, eine Verbindung herzustellen, beginnend mit DC= oder OU=. Das kann ein Stammverzeichnis oder eine bestimmte Organisationseinheit sein.

  • Geben Sie im Feld LDAP-Suchfilter das Attribut ein, das Tenable Identity Exposure zum Filtern von Benutzern verwendet. Ein Standardattribut für die Authentifizierung in Active Directory ist sAMAccountname={{login}}. Der Wert für Login ist der Wert, den der Benutzer bei der Authentifizierung angibt.

  1. Wenn Sie SASL-Bindungen aktivieren möchten, gehen Sie wie folgt vor:

    • Wenn Sie SamAccountName für das Dienstkonto verwenden, klicken Sie auf die Umschalttaste SASL-Bindungen aktivieren, um sie zu aktivieren.

    • Wenn Sie den Distinguished Name oder UserPrincipalName für das Dienstkonto verwenden, lassen Sie die Option SASL-Bindungen aktivieren deaktiviert.

  1. Klicken Sie unter dem Abschnitt Standardprofil und Rollen auf LDAP-Gruppe hinzufügen, um die Gruppen anzugeben, die sich authentifizieren dürfen.

    Daraufhin wird ein Formular mit LDAP-Gruppeninformationen angezeigt.

    • Geben Sie im Feld LDAP-Gruppenname den Distinguished Name der Gruppe ein (Beispiel: CN=TAD_User,OU=Groups,DC=Tenable,DC=ad)

    • Wählen Sie im Dropdown-Feld Standardprofil das Profil für die zulässige Gruppe aus.

    • Wählen Sie im Feld Standardrollen die Rollen für die zulässige Gruppe aus.

  1. Sofern erforderlich, klicken Sie auf das Symbol , um eine neue zulässige Gruppe hinzuzufügen.

  2. Klicken Sie auf Speichern.

So fügen Sie ein benutzerdefiniertes Zertifikat einer vertrauenswürdigen Zertifizierungsstelle (CA) für LDAPS hinzu:

  1. Klicken Sie in Tenable Identity Exposure auf Systeme.

  2. Klicken Sie auf die Registerkarte Konfiguration, um den Konfigurationsbereich anzuzeigen.

  3. Klicken Sie im Abschnitt Anwendungsdienste auf Vertrauenswürdige Zertifizierungsstellen.

  4. Fügen Sie in das Feld Zusätzliche Zertifikate das PEM-kodierte vertrauenswürdige CA-Zertifikat Ihres Unternehmens ein, das Tenable Identity Exposure verwenden soll.

  5. Klicken Sie auf Speichern.

Weitere Informationen zu Sicherheitsprofilen und Rollen finden Sie in folgenden Ressourcen: