Overview
Puede usar un servicio de Protocolo ligero de acceso a directorios (LDAP) para administrar la autenticación y autorización de usuarios de Ops Manager. Los usuarios inician sesión a través de Ops Manager, que luego busca al usuario en el directorio LDAP y sincroniza su nombre y dirección de correo electrónico en los registros de usuario de Ops Manager con los valores de los registros de usuario LDAP.
Para configurar Ops Manager para usar LDAP, vaya a: Admin > General > Ops Manager Config > User Authentication.
Nota
Este tutorial describe cómo autenticar usuarios de la interfaz web de Ops Manager.
Si sus implementaciones de MongoDB también utilizan LDAP, debe crear por separado usuarios de MongoDB para los agentes de MongoDB, como se describe en Configurar el agente MongoDB para LDAP.
Este tutorial describe cómo:
Configurar la autenticación LDAP para Ops Manager
Asignar grupos LDAP a rolesde organización y de proyecto de Ops Manager
Autenticación de usuarios
Cuando un usuario intenta iniciar sesión, Ops Manager busca un usuario coincidente y sus grupos mediante una consulta LDAP.
Ops Manager inicia sesión en LDAP como
searchusuario, utilizando las credenciales especificadas en los campos LDAP Bind Dn y LDAP Bind Password.Ops Manager busca bajo el nombre distinguido base especificado en el campo LDAP User Base Dn y coincide con el usuario según el atributo LDAP especificado en el campo LDAP User Search Attribute.
Ops Manager busca con el nombre distintivo base especificado en el campo LDAP Group Base Dn y encuentra coincidencias con los grupos del usuario según el atributo LDAP especificado en el campo LDAP Group Member Attribute. Si no se proporciona ningún valor para LDAP Group Base Dn, Ops Manager utiliza el valor LDAP User Base Dn para buscar la pertenencia a grupos LDAP.
Si se encuentra un usuario coincidente, Ops Manager autentica la contraseña proporcionada contra la contraseña LDAP del usuario proporcionado.
Autorización/Control de acceso
Los grupos LDAP permiten controlar el acceso a Ops Manager. Se asocian con roles de Ops Manager de la organización y el proyecto, y se asignan a los usuarios que deben tener dichos roles.
Las entradas LDAP se asignan a los registros de Ops Manager de la siguiente manera:
LDAP | Gerente de Operaciones |
|---|---|
Usuario | Usuario |
group | Rol de la organización/proyecto |
Para utilizar los grupos LDAP de manera efectiva, crea proyectos adicionales dentro de Ops Manager para controlar el acceso a implementaciones específicas en tu organización, como la creación de proyectos de Ops Manager separados para entornos de desarrollo y producción. Luego podrás asignar un grupo LDAP a un rol en el proyecto Ops Manager para proporcionar acceso a una implementación.
Nota
Los cambios realizados en los grupos LDAP pueden tardar hasta una hora en surtir efecto en Ops Manager. Los cambios surten efecto inmediatamente para los usuarios de los grupos afectados al cerrar sesión y volver a iniciarla en Ops Manager.
Si un usuario LDAP no pertenece a ningún grupo LDAP, Ops Manager no le asigna ningún rol, organización o proyecto.
Si a un usuario LDAP se le asigna un rol de proyecto pero ningún rol de organización, Ops Manager le asigna automáticamente el rol de miembro de la organización.
Si tiene varios departamentos con sus propias necesidades de facturación, configuraciones de alertas y miembros del proyecto, cree una nueva organización para cada departamento.
LDAP sobre SSL
Si utiliza LDAP a través de una conexión SSL (LDAPS), complete estos campos:
Campo | Valor necesario |
|---|---|
LDAP SSL CA File | La ruta a un archivo de clave PEM para una autoridad de certificación confiable. |
LDAP SSL PEM Key File | La ruta a un archivo de clave PEM que contiene un certificado de cliente y una clave privada. |
LDAP SSL PEM Key File Password | La contraseña para descifrarlo si el LDAP SSL PEM Key File está cifrado. |
Requisitos previos
El servidor LDAP debe:
Estar instalado, configurado y accesible para Ops Manager.
Incluye las membresías de grupo de cada usuario como un atributo de la entrada LDAP de cada usuario.
Importante
Utilice el atributo de usuario LDAP
membersi desea incluir grupos LDAP anidados en las membresías de grupos de Ops Manager.Por ejemplo, si el usuario LDAP
jsmithpertenece al grupo LDAPBy el grupo LDAPBpertenece al grupo LDAPA, entonces Ops Manager reconoce ajsmithcomo miembro de los gruposAyB.Incluya un usuario que pueda buscar el DN base que incluye usuarios y grupos de Ops Manager.
Incluir un grupo
Global Ownerspara.Debe ingresar este grupo en el LDAP Global Role Owner campo cuando configure LDAP en Ops Manager.
Ejemplo
Si LDAP tiene un grupo
adminpara uso de los administradores de Ops Manager, ingreseadminen el campo LDAP Global Role Owner.Después de habilitar la autenticación LDAP, primero debe iniciar sesión en Ops Manager como un usuario que pertenece a este grupo para crear el proyecto inicial de Ops Manager (si corresponde) y asignar grupos LDAP a roles de proyecto y organización.
Importante
Una vez que Ops Manager se convierte a la autenticación LDAP, solo el usuario con el rol de Propietario Global que cambia el método de autenticación permanece conectado. Los demás usuarios cierran sesión y deben volver a iniciar sesión en Ops Manager con su nombre de usuario y contraseña LDAP. Los usuarios sin nombre de usuario y contraseña LDAP ya no pueden iniciar sesión en Ops Manager.
Procedimiento
Para configurar la autenticación LDAP:
Defina sus registros de usuario en el sistema LDAP de su elección.
Para encontrar una descripción de las clases de objetos y tipos de atributos LDAP estándar, consulte Esquema de protocolo ligero de acceso a directorios para aplicaciones de usuario.
Escriba la configuración de LDAP.
Introduzca valores para los siguientes campos de configuración LDAP obligatorios:
CampoAcciónEjemploUser Authentication Method
Seleccione LDAP.
LDAPLDAP URI
Escriba el nombre de host y el puerto del servidor LDAP.
Si utiliza varios servidores LDAP para la autenticación, separe cada URI con un espacio.
IMPORTANTE: Ops Manager no admite nombres de host que contengan un carácter de guión bajo
_() en el LDAP URI campo.ldap://ldap.example.com:389LDAP SSL CA File
Escriba la ruta a un archivo de clave PEM que contiene el certificado de la CA que firmó el certificado utilizado por el servidor LDAPS. Ops Manager utiliza este campo opcional para verificar la identidad del servidor LDAPS y evitar ataques de intermediario. Si no se proporciona esta configuración, Ops Manager utiliza el paquete de certificados de CA raíz predeterminado que viene con Java Runtime Environment (JRE). Si una CA raíz no puede verificar el certificado de su servidor LDAPS (es decir, si está autofirmado), las solicitudes al servidor LDAPS fallarán.
/opt/cert/ca.pemLDAP SSL PEM Key File
Escriba la ruta a un archivo de clave PEM que contiene un certificado de cliente y una clave privada. Este campo es opcional y solo debe usarse si su servidor LDAPS requiere que las aplicaciones cliente transmitan certificados de cliente. Esto se utiliza para firmar las solicitudes enviadas desde el servidor de aplicaciones Ops Manager al servidor LDAPS. Esto permite que el servidor LDAPS verifique la identidad del servidor de aplicaciones Ops Manager.
/opt/cert/ldap.pemLDAP SSL PEM Key File Password
Escriba la contraseña que descifra el archivo de clave LDAP SSL PEM. Si el servidor LDAPS requiere los certificados de cliente especificados en el campo Archivo de clave LDAP SSL PEM y si el certificado de cliente especificado en Archivo de clave LDAP SSL PEM está almacenado cifrado en el sistema de archivos, este campo es obligatorio.
<encrypted-password>LDAP Bind Dn
Escriba un usuario con credenciales en el servidor LDAP que pueda realizar búsquedas de usuarios.
cn=admin, dc=example, dc=comLDAP Bind Password
Escriba la contraseña para el usuario Bind Dn en el servidor LDAP.
<password>LDAP User Base Dn
Escriba el nombre distintivo que Ops Manager utiliza para buscar usuarios en el servidor LDAP.
dc=example, dc=comLDAP User Search Attribute
Escribe el campo LDAP en el servidor LDAP que especifica el nombre de usuario.
uidLDAP Group Base Dn
Escriba el nombre distintivo que Ops Manager utiliza para buscar grupos en el servidor LDAP.
ou=othergroups, dc=example, dc=comLDAP Group Member Attribute
Escriba el atributo de grupo LDAP que especifica la lista de usuarios LDAP que pertenecen a ese grupo.
memberLDAP User Group
Escriba el atributo de usuario LDAP que especifica los grupos LDAP a los que pertenece el usuario. El atributo LDAP puede usar cualquier formato para enumerar los grupos, incluyendo Nombre común (
cn) o Nombre distintivo (dn). Todas las configuraciones de Ops Manager que especifiquen grupos deben coincidir con el formato seleccionado.memberOfLDAP Global Role Owner
Escriba el grupo LDAP al que pertenecen los propietarios globales de Ops Manager.
cn=global-owner, ou=groups, dc=example, dc=comNota
Cada grupo de roles globales proporciona a los miembros de su grupo o grupos LDAP asociados un rol global de Ops Manager. Los roles globales proporcionan acceso a todos los proyectos de Ops Manager en la implementación de Ops Manager.
Escriba valores para los siguientes campos de configuración LDAP opcional si es necesario.
Importante
Debe usar el nombre completo y distintivo para cada grupo. Si varios grupos LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (
;;). Elimine un grupo del campo de un rol para revocar su acceso a ese rol.CampoAcciónLDAP User First Name
Escriba el atributo de los usuarios LDAP que especifica el nombre del usuario.
LDAP User Last Name
Escriba el atributo de los usuarios LDAP que especifica el apellido del usuario.
LDAP User Email
Escriba el atributo de los usuarios LDAP que especifica la dirección de correo electrónico del usuario.
LDAP Global Role Automation Admin
Escriba los grupos LDAP a los que pertenecen los administradores de automatización global de Ops Manager. Puede escribir varios grupos LDAP en este campo si están separados por dos puntos y comas (
;;).LDAP Global Role Backup Admin
Escriba los grupos LDAP a los que pertenecen los administradores de copias de seguridad globales de Ops Manager. Puede escribir varios grupos LDAP en este campo si están separados por dos puntos y comas (
;;).LDAP Global Role Monitoring Admin
Escriba los grupos LDAP a los que pertenecen los administradores de Monitoreo Global de Ops Manager. Puede escribir varios grupos LDAP en este campo si están separados por dos puntos y comas (
;;).LDAP Global Role User Admin
Escriba el grupo(s) de LDAP al que pertenecen los administradores globales de usuarios de Ops Manager. Puede escribir varios grupos de LDAP en este campo si están separados por dos puntos y coma (
;;).LDAP Global Role Read Only
Escriba los grupos LDAP a los que pertenecen los usuarios de solo lectura globales de Ops Manager. Puede escribir varios grupos LDAP en este campo si están separados por dos puntos y comas (
;;).
Asociar grupos LDAP con roles de proyecto.
Para asociar grupos LDAP con roles en un nuevo proyecto:
Nota
Debes tener algún rol global para crear un nuevo proyecto.
Haga clic en Admin > General > Projects.
Haga clic en Create a New Project.
En Project Name, escriba un nombre para el nuevo proyecto de Ops Manager.
Introduzca los grupos LDAP que corresponden a cada rol del proyecto.
Importante
Debe usar el nombre completo y distintivo para cada grupo. Si varios grupos LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (
;;). Elimine un grupo del campo de un rol para revocar su acceso a ese rol.Haga clic en Add Project.
Para actualizar la asociación de grupos LDAP con roles en un proyecto existente:
Haga clic en Admin > General > Projects.
En la Actions columna de un proyecto, haga clic Edit LDAP Settingsen y luego haga clic en.
Introduzca los grupos LDAP que corresponden a cada rol del proyecto.
Importante
Debe usar el nombre completo y distintivo para cada grupo. Si varios grupos LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (
;;). Elimine un grupo del campo de un rol para revocar su acceso a ese rol.Haga clic en Save Changes.
Opcional: asociar grupos LDAP con roles de la organización.
Para asociar grupos LDAP con roles para una nueva organización:
Nota
Debes tener algún rol global para crear una nueva organización.
Haga clic en Admin > General > Organizations.
Haga clic en Create a New Organization.
En Organization Name, escriba un nombre para la nueva organización de Ops Manager.
Introduzca los grupos LDAP que corresponden a cada rol de la organización.
Importante
Debe usar el nombre completo y distintivo para cada grupo. Si varios grupos LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (
;;). Elimine un grupo del campo de un rol para revocar su acceso a ese rol.Haga clic en Add Organization.
Para actualizar la asociación de grupos LDAP con roles para una organización existente:
Haga clic en Admin > General > Organizations.
Haga clic en el botón Edit Org.
Introduzca los grupos LDAP que corresponden a cada rol de la organización.
Importante
Debe usar el nombre completo y distintivo para cada grupo. Si varios grupos LDAP o SAML corresponden al mismo rol, sepárelos con dos puntos y coma (
;;). Elimine un grupo del campo de un rol para revocar su acceso a ese rol.Haga clic en Save Changes.
Agregue sus implementaciones de MongoDB.
Especifique la configuración de autenticación LDAP al agregar una implementación de MongoDB.
Solución de problemas
Ops Manager habilita la detección de endpoints de forma predeterminada en el JDK. Debe usar certificados de servidor de confianza para sus hosts de Ops Manager.
Si no puede utilizar certificados confiables:
Deshabilitar la identificación de puntos finales. Agregar
-Dcom.sun.jndi.ldap.object.disableEndpointIdentification=truea la propiedadJAVA_MMS_UI_OPTSenmms.conf.Reinicie todos los servicios de Ops Manager después de este cambio.
Advertencia
Deshabilitar esta función afecta la seguridad de Ops Manager. En su lugar, debe configurar un certificado válido y de confianza.