Overview
Puede usar un servicio Lightweight Directory Access Protocol (LDAP) para gestionar la autenticación y autorización de usuarios en Ops Manager. Los usuarios inician sesión a través de Ops Manager, después el Ops Manager busca al usuario en el directorio LDAP y sincroniza el nombre y las direcciones de correo electrónico de los usuarios en los registros de usuarios de Ops Manager con los valores en los registros de usuarios de LDAP.
Para configurar Ops Manager para usar LDAP, ve a: Admin > General > Ops Manager Config > User Authentication.
Nota
Este tutorial describe la autenticación de usuarios de la interfaz web de Ops Manager.
Si sus implementaciones de MongoDB también usan LDAP, debes crear por separado los usuarios de MongoDB para los agentes de MongoDB, como se describe en Configurar el agente MongoDB para LDAP.
Este tutorial describe cómo:
Configurar la autenticación LDAP para Ops Manager
Asignar grupos LDAP a rolesde organización y de proyecto de Ops Manager
Autenticación de usuarios
Cuando un usuario intenta iniciar sesión, Ops Manager busca un usuario coincidente y los grupos del usuario utilizando una query LDAP.
Ops Manager inicia sesión en LDAP como el
searchusuario, utilizando las credenciales especificadas en los campos LDAP Bind Dn y LDAP Bind Password.Ops Manager busca bajo el nombre distintivo base especificado en el campo LDAP User Base Dn y empareja al usuario según el atributo LDAP especificado en el campo LDAP User Search Attribute.
Ops Manager busca bajo el nombre distinguido base especificado en el campo LDAP Group Base Dn y compara los grupos del usuario de acuerdo con el atributo LDAP especificado en el campo LDAP Group Member Attribute. Si no se proporciona ningún valor para el LDAP Group Base Dn, Ops Manager utiliza el valor de LDAP User Base Dn para buscar membresías de grupos LDAP.
Si se encuentra un usuario coincidente, Ops Manager autentica la contraseña proporcionada contra la contraseña LDAP del usuario proporcionado.
Autorización / Control de acceso
Los grupos LDAP permiten controlar el acceso a Ops Manager. Se asocian con roles de Ops Manager de la organización y el proyecto, y se asignan a los usuarios que deben tener dichos roles.
Las entradas LDAP se asignan a los registros de Ops Manager de la siguiente manera:
LDAP | Gerente de Operaciones |
|---|---|
Usuario | Usuario |
group | Rol de la organización/proyecto |
Para utilizar los grupos LDAP de manera efectiva, crea proyectos adicionales dentro de Ops Manager para controlar el acceso a implementaciones específicas en tu organización, como la creación de proyectos de Ops Manager separados para entornos de desarrollo y producción. Luego podrás asignar un grupo LDAP a un rol en el proyecto Ops Manager para proporcionar acceso a una implementación.
Nota
Los cambios realizados en los grupos LDAP pueden tardar hasta una hora en tener efecto en Ops Manager. Los cambios entran en vigencia inmediatamente para los usuarios de los grupos afectados al cerrar sesión y volver a ingresar en Ops Manager.
Si un usuario LDAP no pertenece a ningún grupo LDAP, Ops Manager no asigna ningún rol, organización ni proyecto al usuario.
Si a un usuario LDAP se le asigna un rol de proyecto pero no un rol de organización, Ops Manager le asigna automáticamente al usuario el Rol de miembro de la organización.
Si tienes varios departamentos con sus propias necesidades de facturación, configuraciones de alerta y miembros de proyecto, crea una nueva organización para cada departamento.
LDAP sobre SSL
Si utilizas LDAP a través de una conexión SSL (LDAPS), completa estos campos:
Campo | Valor necesario |
|---|---|
LDAP SSL CA File | La ruta a un archivo de clave PEM para una autoridad certificadora confiable. |
LDAP SSL PEM Key File | La ruta a un archivo de claves PEM que contiene un certificado de cliente y una clave privada. |
LDAP SSL PEM Key File Password | La contraseña para descifrarla si LDAP SSL PEM Key File está cifrado. |
Requisitos previos
El servidor LDAP debe:
Se deben instalar, configurar y estar accesibles para Ops Manager.
Incluye las membresías de grupo de cada usuario como un atributo de la entrada LDAP de cada usuario.
Importante
Utilice el atributo de usuario LDAP
membersi desea incluir grupos LDAP anidados en las membresías de grupos de Ops Manager.Por ejemplo, si el usuario LDAP
jsmithpertenece al grupo LDAPBy el Grupo LDAPBpertenece al grupo LDAPA, entonces Ops Manager reconoce ajsmithcomo nodos de los gruposAyB.Incluya a un usuario que pueda buscar la base nombre distinguido que incluya a los usuarios y grupos de Ops Manager.
Incluya un grupo para
Global Owners.Debes ingresar este grupo en el LDAP Global Role Owner campo cuando configurar LDAP en Ops Manager.
Ejemplo
Si LDAP tiene un grupo
adminpara que lo usen los administradores de Ops Manager, introduceadminen el campo LDAP Global Role Owner.Después de habilitar la autenticación LDAP, primero debe iniciar sesión en Ops Manager como un usuario que pertenece a este grupo para crear el proyecto inicial de Ops Manager (si corresponde) y asignar grupos LDAP a roles de proyecto y organización.
Importante
Una vez que Ops Manager se convierte a la autenticación LDAP, solo el usuario con el rol de Propietario global que cambia el método de autenticación permanece conectado. Todos los demás usuarios cierran sesión y deben volver a iniciar sesión en Ops Manager utilizando su nombre de usuario y contraseña de LDAP. Los usuarios sin nombre de usuario y contraseña LDAP ya no pueden iniciar sesión en Ops Manager.
Procedimiento
Para configurar la autenticación LDAP:
Define tus registros de usuario en el sistema LDAP de tu elección.
Para encontrar una descripción de las clases de objetos estándar de LDAP y los tipos de atributos, consulte Esquema de Protocolo Ligero de Acceso a Directorios para Aplicaciones de Usuario.
Escriba la configuración de LDAP.
Introduzca valores para los siguientes campos de configuración LDAP obligatorios:
CampoAcciónEjemploUser Authentication Method
Seleccione LDAP.
LDAPLDAP URI
Escriba el nombre de host y el puerto del servidor LDAP.
Si utiliza varios servidores LDAP para equilibrar la carga, separe cada URI con un espacio. Cada servidor LDAP debe ser una réplica de los demás; de lo contrario, la autenticación LDAP de Ops Manager no funcionará correctamente.
IMPORTANTE: Ops Manager no admite los nombres de host que contengan un carácter de guion bajo (
_) en el campo LDAP URI.ldap://ldap.example.com:389LDAP SSL CA File
Introduce la ruta a un archivo de clave PEM que contenga el certificado de la CA que firmó el certificado utilizado por el servidor LDAPS. Este campo opcional es utilizado por la aplicación Ops Manager para verificar la identidad del servidor LDAPS y prevenir ataques intermediarios. Si esta configuración no se proporciona, Ops Manager utiliza el paquete de certificados raíz de CA por defecto que viene con el entorno de ejecución de Java (JRE). Si tu certificado de servidor LDAPS no puede ser verificado por una CA raíz (es decir, si es autofirmado), las solicitudes al servidor LDAPS fallarán.
/opt/cert/ca.pemLDAP SSL PEM Key File
Escriba la ruta a un archivo de clave PEM que contenga un certificado de cliente y una llave privada. Este campo es opcional y solo debe usarse si su servidor LDAPS requiere que las aplicaciones cliente transmitan certificados de cliente. Esto se utiliza para firmar solicitudes enviadas desde el servidor de aplicaciones Ops Manager al servidor LDAPS. Esto permite que el servidor LDAPS verifique la identidad del servidor de aplicaciones Ops Manager.
/opt/cert/ldap.pemLDAP SSL PEM Key File Password
Escriba la contraseña que descifra el archivo de clave LDAP SSL PEM. Si el servidor LDAPS requiere los certificados de cliente especificados en el campo Archivo de clave LDAP SSL PEM y si el certificado de cliente especificado en Archivo de clave LDAP SSL PEM está almacenado cifrado en el sistema de archivos, este campo es obligatorio.
<encrypted-password>LDAP Bind Dn
Escriba un usuario acreditado en el servidor LDAP que pueda realizar búsquedas de usuarios.
cn=admin, dc=example, dc=comLDAP Bind Password
Escriba la contraseña del usuario Bind nombre distinguido en el servidor LDAP.
<password>LDAP User Base Dn
Escriba el nombre distintivo que Ops Manager utiliza para buscar usuarios en el servidor LDAP.
dc=example, dc=comLDAP User Search Attribute
Escribe el campo LDAP en el servidor LDAP que especifica el nombre de usuario.
uidLDAP Group Base Dn
Escriba el Nombre Distinguido que Ops Manager usa para buscar grupos en el servidor LDAP.
ou=othergroups, dc=example, dc=comLDAP Group Member Attribute
Escriba el atributo de grupo LDAP que especifica la lista de usuarios LDAP que pertenecen a ese grupo.
memberLDAP User Group
Introduce el atributo de usuario LDAP que especifica los grupos de LDAP a los que pertenece el usuario. El atributo LDAP puede usar cualquier formato para enumerar los grupos, incluidos el Nombre común (
cn) o el Nombre distintivo (dn). Todas las configuraciones de Ops Manager que especifican grupos deben coincidir con el formato elegido.memberOfLDAP Global Role Owner
Introduce el grupo LDAP al que pertenecen los Propietarios globales de Ops Manager.
cn=global-owner, ou=groups, dc=example, dc=comNota
Cada grupo de rol global proporciona a los miembros de su(s) grupo(s) LDAP asociado(s) un rol global de Ops Manager. Los roles globales proporcionan acceso a todos los proyectos en la implementación de Ops Manager.
Introduce valores para los siguientes campos de Configuración opcional de LDAP si es necesario.
Importante
Debes utilizar el nombre distinguido completamente calificado para cada grupo. Si varios grupos de LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (
;;). Remueve un grupo del campo de un rol para revocar el acceso del grupo a ese rol.CampoAcciónLDAP User First Name
Escriba el atributo de los usuarios LDAP que especifica el nombre del usuario.
LDAP User Last Name
Escriba el atributo de los usuarios de LDAP que especifique el apellido del usuario.
LDAP User Email
Escriba el atributo de los usuarios de LDAP que especifica el correo electrónico del usuario.
LDAP Global Role Automation Admin
Escriba el/los grupo(s) LDAP al que pertenecen los administradores globales de automatización de Ops Manager. Puedes escribir varios grupos LDAP en este campo si los separas con dos puntos y coma (
;;).LDAP Global Role Backup Admin
Escriba el (los) grupo(s) LDAP al que (los) pertenece(n) los Administradores Globales de copias de seguridad de Ops Manager. Puedes escribir varios grupos LDAP en este campo si están separados por dos puntos y coma (
;;).LDAP Global Role Monitoring Admin
Escriba los grupos LDAP a los que pertenecen los administradores de Monitoreo Global de Ops Manager. Puede escribir varios grupos LDAP en este campo si están separados por dos puntos y comas (
;;).LDAP Global Role User Admin
Escriba el grupo(s) de LDAP al que pertenecen los administradores globales de usuarios de Ops Manager. Puede escribir varios grupos de LDAP en este campo si están separados por dos puntos y coma (
;;).LDAP Global Role Read Only
Escribe el/los grupo(s) de LDAP al/los que pertenecen los Usuarios con solo lectura global de Ops Manager. Puedes escribir varios grupos LDAP en este campo si los separas con dos puntos y coma (
;;).
Asociar los grupos LDAP con los roles del proyecto.
Para asociar grupos LDAP con roles en un nuevo proyecto:
Nota
Debes tener cualquier rol global para crear un nuevo proyecto.
Haga clic en Admin > General > Projects.
Haga clic en Create a New Project.
En Project Name, escribe un nombre para el nuevo proyecto de Ops Manager.
Introduzca los grupos LDAP que corresponden a cada rol del proyecto.
Importante
Debes utilizar el nombre distinguido completamente calificado para cada grupo. Si varios grupos de LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (
;;). Remueve un grupo del campo de un rol para revocar el acceso del grupo a ese rol.Haga clic en Add Project.
Para actualizar la asociación de grupos LDAP con roles en un proyecto existente:
Haga clic en Admin > General > Projects.
En la Actions columna de un proyecto, haga clic Edit LDAP Settingsen y luego haga clic en.
Introduzca los grupos LDAP que corresponden a cada rol del proyecto.
Importante
Debes utilizar el nombre distinguido completamente calificado para cada grupo. Si varios grupos de LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (
;;). Remueve un grupo del campo de un rol para revocar el acceso del grupo a ese rol.Haga clic en Save Changes.
Opcional: Asocia grupos LDAP con roles organizativos.
Para asociar grupos LDAP con roles para una nueva organización:
Nota
Debes tener cualquier rol global para crear una nueva organización.
Haga clic en Admin > General > Organizations.
Haga clic en Create a New Organization.
En Organization Name, escribe un nombre para la nueva organización de Ops Manager.
Introduzca los grupos LDAP que corresponden a cada rol de la organización.
Importante
Debes utilizar el nombre distinguido completamente calificado para cada grupo. Si varios grupos de LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (
;;). Remueve un grupo del campo de un rol para revocar el acceso del grupo a ese rol.Haga clic en Add Organization.
Para actualizar la asociación de los grupos LDAP con los roles de una organización existente:
Haga clic en Admin > General > Organizations.
Haga clic en el botón Edit Org.
Introduzca los grupos LDAP que corresponden a cada rol de la organización.
Importante
Debes utilizar el nombre distinguido completamente calificado para cada grupo. Si varios grupos de LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (
;;). Remueve un grupo del campo de un rol para revocar el acceso del grupo a ese rol.Haga clic en Save Changes.
Agregue sus implementaciones de MongoDB.
Especifica la configuración de autenticación LDAP al agregar una implementación de MongoDB.
Solución de problemas
Ops Manager habilita la detección de endpoints por defecto en el JDK. Debe utilizar certificados de servidor de confianza para los hosts del Ops Manager.
Si no puede utilizar certificados confiables:
Desactive la identificación de endpoints. Agrega el
-Dcom.sun.jndi.ldap.object.disableEndpointIdentification=truea la propiedadJAVA_MMS_UI_OPTSen elmms.conf.Reinicie todos los servicios de Ops Manager después de este cambio.
Advertencia
Desactivar esta funcionalidad afecta a la seguridad de Ops Manager. Debería configurar un certificado válido y confiable en su lugar.