Configuration de l'authentification à distance via LDAP
Le système ExtraHop prend en charge le protocole LDAP (Lightweight Directory Access Protocol) pour l'authentification et l'autorisation. Au lieu de stocker localement les informations didentification de l′utilisateur, vous pouvez configurer votre système ExtraHop pour authentifier les utilisateurs à distance auprès d'un serveur LDAP existant. Notez que l'authentification LDAP ExtraHop ne demande que les comptes utilisateurs ; elle n'interroge aucune autre entité susceptible de figurer dans l'annuaire LDAP.
Before you begin
- Cette procédure nécessite de connaître la configuration du LDAP.
- Assurez-vous que chaque utilisateur appartient à un groupe d'autorisations spécifique sur le serveur LDAP avant de commencer cette procédure .
- Si vous souhaitez configurer des groupes LDAP imbriqués, vous devez modifier le fichier de configuration en cours d'exécution. Contacter Assistance ExtraHop pour obtenir de l'aide.
Lorsqu'un utilisateur tente de se connecter à un système ExtraHop, le système ExtraHop essaie d' authentifier l'utilisateur de la manière suivante :
- Tente d'authentifier l'utilisateur localement.
- Tente d'authentifier l'utilisateur via le serveur LDAP s'il n'existe pas localement et si le système ExtraHop est configuré pour l' authentification à distance avec LDAP.
- Connecte l'utilisateur au système ExtraHop s'il existe et si le mot de passe est validé localement ou via LDAP. Le mot de passe LDAP n'est pas stocké localement sur le système ExtraHop. Notez que vous devez saisir le nom d'utilisateur et le mot de passe au format pour lequel votre serveur LDAP est configuré. Le système ExtraHop ne transmet les informations qu'au serveur LDAP.
- Si l'utilisateur n'existe pas ou si un mot de passe incorrect est saisi, un message d'erreur s'affiche sur la page de connexion.
Important : | Si vous modifiez ultérieurement l'authentification LDAP pour une autre méthode dauthentification à distance, les utilisateurs, les groupes d'utilisateurs et les personnalisations associées qui ont été créés par le biais de l'authentification à distance sont supprimés. Les utilisateurs locaux ne sont pas concernés. |
Configuration des privilèges utilisateur pour l'authentification à distance
Vous pouvez attribuer des privilèges d'utilisateur à des utilisateurs individuels sur votre système ExtraHop ou configurer et gérer des privilèges via votre serveur LDAP.
Le système ExtraHop prend en charge les appartenances aux groupes Active Directory et POSIX. Pour Active Directory, memberOf est pris en charge. Pour POSIX, memberuid, posixGroups, groupofNames, et groupofuniqueNames sont pris en charge.
-
Choisissez l'une des options suivantes dans
Options d'attribution de privilèges liste déroulante :
-
Obtenir le niveau de privilèges depuis un serveur distant
Cette option attribue des privilèges via votre serveur d'authentification à distance. Vous devez remplir au moins l'un des champs de nom distinctif (DN) suivants.
DN d'administration du système et des accès: Créez et modifiez tous les objets et paramètres du système ExtraHop, y compris les paramètres d'administration.
DN d'écriture complète: Créez et modifiez des objets sur le système ExtraHop, à l'exception des paramètres d'administration.
DN à écriture limitée: Créez, modifiez et partagez des tableaux de bord.
DN d'écriture personnel: Créez des tableaux de bord personnels et modifiez les tableaux de bord partagés avec l'utilisateur connecté.
DN complet en lecture seule: Afficher les objets dans le système ExtraHop.
DN en lecture seule restreint: Afficher les tableaux de bord partagés avec l'utilisateur connecté.
DN d'accès aux tranches de paquets: Affichez et téléchargez les 64 premiers octets de paquets capturés via l'appliance ExtraHop Trace.
DN d'accès aux paquets: Affichez et téléchargez les paquets capturés via l' appliance ExtraHop Trace.
DN d'accès aux clés de paquets et de session: Affichez et téléchargez les paquets et toutes les clés de session SSL associées capturées via l'appliance ExtraHop Trace.
DN d'accès au module NDR: Afficher, accuser réception et masquer les détections de sécurité qui apparaissent dans le système ExtraHop.
DN d'accès au module NPM: Afficher, accuser réception et masquer les détections de performances qui apparaissent dans le système ExtraHop.
-
Les utilisateurs distants disposent d'un accès complet en écriture
Cette option accorde aux utilisateurs distants un accès complet en écriture au système ExtraHop. En outre, vous pouvez accorder un accès supplémentaire pour les téléchargements de paquets, les clés de session SSL, l'accès au module NDR et l'accès au module NPM.
-
Les utilisateurs distants disposent d'un accès complet en lecture seule
Cette option accorde aux utilisateurs distants un accès en lecture seule au système ExtraHop. En outre, vous pouvez accorder un accès supplémentaire pour les téléchargements de paquets, les clés de session SSL, l'accès au module NDR et l'accès au module NPM.
-
Obtenir le niveau de privilèges depuis un serveur distant
- Facultatif :
Configurez l'accès aux paquets et aux clés de session. Sélectionnez l'une des options suivantes pour
permettre aux utilisateurs distants de télécharger des captures de paquets et des clés de session SSL.
- Pas d'accès
- Tranches de paquets uniquement
- Paquets uniquement
- Paquets et clés de session
- Facultatif :
Configurez l'accès aux modules NDR et NPM.
- Pas d'accès
- Accès complet
- Cliquez Enregistrer et terminer.
- Cliquez Terminé.
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?