LDAP konfigurieren
Zur Konfiguration von LDAP lesen Sie bitte die Anweisungen in den folgenden Abschnitten:
LDAP-Konfiguration
Um eine LDAP-Verbindung (Lightweight Directory Access Protocol) zu konfigurieren, gehen Sie wie folgt vor:
- Wählen Sie im Navigationsmenü der Instana-Benutzeroberfläche aus.
- Fügen Sie die entsprechenden LDAP-Konfigurationswerte hinzu. Weitere Informationen finden Sie unter Unterstützte Authentifizierungsanbieter.
- Um die LDAP-Konfiguration beizubehalten, müssen Sie im Abschnitt „LDAP-Benutzerkonto“ des Formulars einen Benutzernamen und ein Passwort hinzufügen. Dieser Benutzer wird als Eigentümer hinzugefügt, und Sie können dies nach der Ersteinrichtung ändern.
Nachdem Sie LDAP konfiguriert haben, werden andere Benutzer, die der Gruppenabfrage entsprechen, mit der Standardrolle zu Instana hinzugefügt. Sie können die Rollen für jeden Benutzer wie unter Rollenbasierte Zugriffskontrolle beschrieben festlegen.
Instana holt die Rollen und die nachfolgenden Berechtigungen für den aktuell authentifizierten Benutzer von Ihrem LDAP-Server. Die Benutzer können sich nicht mit ihrer bisherigen Kombination aus Benutzername und Kennwort anmelden, sondern müssen ihre LDAP-Anmeldedaten verwenden.
Tipps:
Bei der selbst gehosteten Classic Edition ( Docker ) sollten Sie bei der Konfiguration von LDAP mit Instana unbedingt den Debugging-Modus der Komponente „butler” aktivieren, da die Debugging-Informationen sehr ausführlich sind und Ihnen helfen können.
LDAP unterscheidet standardmäßig nicht zwischen Groß- und Kleinschreibung.
Unterstützte Authentifizierungsprovider
Derzeit werden Microsoft® Active Directory und OpenLDAP unterstützt.
Zur Integration mit Microsoft siehe die Beispiele unter Active Directory Integration mit Microsoft Active Directory.
Zur Integration siehe die Beispiele unter OpenLDAP, Integration mit OpenLDAP.
Konfigurationsparameter
Das Konfigurieren von LDAP kann eine Herausforderung darstellen. Um die richtigen Einstellungen für LDAP in der Instana-Benutzeroberfläche zu finden, lesen Sie die folgenden Konfigurationsparameter:
| Parameter | Beschreibung |
|---|---|
| URL | LDAP Server URL (ldap://host:389 oder ldaps://host:636). |
| Bei der Verwendung von LDAPs alle Zertifizierungsstellen akzeptieren | Wenn diese Option aktiviert ist, wird jeder Zertifizierungsstelle (CA) vertraut, während Sie LDAP verwenden. Sie ist für nicht vertrauenswürdige Behörden oder selbstsignierte Zertifikate erforderlich. |
| Der Benutzer mit Lesezugriff greift anonym auf LDAP zu | Legt fest, ob für den Nur-Lese-Zugriff eine Authentifizierung erforderlich ist. Wenn sie deaktiviert ist, müssen ein Benutzer und sein Passwort angegeben werden. |
| Benutzer | Der LDAP-Benutzer mit Lesezugriff. Er muss über ausreichende Zugriffsrechte verfügen, um Gruppen mit Hilfe von group_query aufzulisten. Sie ist nur erforderlich, wenn der anonyme Zugang unzureichend ist. |
| Kennwort | Passwort für Nur-Lese-Benutzer. Sie ist nur erforderlich, wenn der anonyme Zugang unzureichend ist. |
| Basis | Die Basis für Abfragen (dc=instana,dc=com). |
| Group Query | Die Abfrage zur Auflistung einer Gruppe oder einer Reihe von Gruppen mit Mitgliedern, die Zugang zu Instana haben (ou=Instana). |
| GruppenMitgliedsfeld | Name des Feldes, das die DNs der Benutzer enthält, die über group_query ( uniqueMember ) aufgelistet werden. |
| User Query Template | Vorlage zur Abfrage des Benutzers, zum Beispiel (uid=%s). |
| Email Field | Der Name des Feldes, in dem die E-Mail-Adresse (Mail) zu finden ist. |
| Benutzername | Der Benutzer, der als Eigner in Instana zuzuordnen ist. Eine Anmeldung wird als Test versucht, bevor die Einstellungen gespeichert werden. |
| Kennwort | Das Kennwort des Instana-Eigners. |
| Benutzer-DN-Zuordnung | Das Feld (z. B. distinguishedName), das die Nummer des Benutzers enthält. Dieser Parameter ist optional. |
| USER_FIELD | Das Feld, in dem die Benutzer innerhalb der Gruppe durch den Wert dieses Attributs referenziert werden (sofern DN nicht verwendet wird). Dieser Parameter ist optional. |
TLS
Die Verbindung über Secure LDAP (LDAPS) kann so einfach sein wie die Bereitstellung von ldaps://url:636. Falls der Server nur eine Verschlüsselung akzeptiert, die stärker ist als die, die von Ihrer Java 8-Installation bereitgestellt wird, muss die Kryptographie-Erweiterung verwendet werden. Sie können es herunterladen von Oracle herunter und konfigurieren es wie auf der JCE-Dokumentationsseite beschrieben.
Standardmäßig wird ein selbstsigniertes Zertifikat für das LDAP erwartet. Daher wird eine CA nicht validiert.
Sie können die CA-Validierung aktivieren, indem Sie das Kontrollkästchen Trust any certificate authorities while using ldaps im Abschnitt Required Settings deaktivieren.
Korrekte Konfigurationswerte suchen
Wenn man fast keine Kenntnisse über die Struktur des LDAP-Servers hat, ist es am besten, wenn man sich einen Überblick verschafft.
ldapsearch -H ldap://ldap.forumsys.com:389 -x -b "DC=example,DC=com" -D "cn=read-only-admin,dc=example,dc=com" -w "password"
Siehe die folgende Beschreibung der Parameter:
- - H : LDAP-Server URL.
- - x : Einfache Authentifizierung verwenden (die meisten LDAP-Server verwenden diese Authentifizierung).
- - b : Die Basisabfrage.
- - D : Der LDAP-Benutzer mit Lesezugriff.
- - w : Das Passwort des LDAP-Benutzers mit Lesezugriff.
Jetzt, wo Sie die Ausgabe haben, brauchen Sie die richtigen Einstellungen.
Group Query
Suchen Sie zunächst nach der passenden Gruppe, in der die gesuchten Benutzer Mitglied sind. Im folgenden Fall nehmen wir die mathematicians als Beispiel:
mathematicians, example.com
dn: ou=mathematicians,dc=example,dc=com
uniqueMember: uid=euclid,dc=example,dc=com
uniqueMember: uid=riemann,dc=example,dc=com
uniqueMember: uid=euler,dc=example,dc=com
uniqueMember: uid=gauss,dc=example,dc=com
uniqueMember: uid=test,dc=example,dc=com
ou: mathematicians
cn: Mathematicians
objectClass: groupOfUniqueNames
objectClass: top
Um diese Gruppe zu finden, verwenden Sie entweder cn=Mathematicians oder ou=mathematicians.
Benutzer-DN-Zuordnung
In der Ausgabe sehen Sie das Attribut uniqueMember. Er ist der wichtigste Name, da er Sie zu den Benutzern führt, die Mitglieder dieser Gruppe sind.
User Query Template
Jetzt müssen Sie den tatsächlichen Benutzer finden. Betrachten Sie einen Benutzer aus der Ausgabe der ersten Abfrage.
euler, example.com
dn: uid=euler,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: top
uid: euler
sn: Euler
cn: Leonhard Euler
mail: euler@ldap.forumsys.com
Die eindeutige ID des Benutzers ist euler, also lautet die user_query_template (uid=%s). (Die %s in der user_query_template wird als Platzhalter für die angegebene Benutzeranmeldung verwendet)
Email Field
In dem oben gezeigten Ausschnitt heißt das E-Mail-Feld mail, was auch der Wert der Einstellung E-Mail-Feld ist.
Überprüfen Ihrer Konfiguration
Um Ihre Konfiguration zu überprüfen, ersetzen Sie die Werte aus den Platzhaltern durch die Werte aus der LDAP-Konfiguration in der Instana-Benutzeroberfläche, und führen Sie die Gruppensuche und die Benutzersuche aus.
Wenn einer der Befehle nicht die richtigen Werte zurückgibt, funktioniert Instana LDAP nicht.
Wenn die folgenden Befehle die Werte zurückgeben, bedeutet dies, dass der LDAP-Server konfiguriert ist und über die entsprechenden Daten verfügt. Andernfalls müssen die LDAP-Konfiguration und -Daten überprüft werden.
Gruppensuche
ldapsearch -H {url} -x -D "{ro_user}" -w "{ro_password}" -b "{base}" "{group_query}"Sie gibt die Gruppen mit Instana-Zugriffsrechten zurück. Ohne sie ist es Instana nicht möglich, die Mitgliedschaft des Benutzers zu überprüfen, selbst wenn dieser anwesend ist.
Benutzersuche
ldapsearch -H {url} -x -D "{ro_user}" -w "{ro_password}" -b "{base}" "{user_query_template=login}"Dabei ist login der angegebene Benutzername, der
%sin der user_query_template ersetzt. Sie gibt den jeweiligen Benutzer zurück.Der Benutzer muss auch das Attribut "E-Mail" haben.
Zugriff auf die Instana UI
Die LDAP-Authentifizierung wird auf der Ebene des Mandanten konfiguriert.
Um sich mit LDAP-Authentifizierung bei Instana anzumelden, rufen Sie die Anmeldeseite oder eine beliebige andere Seite in einer Mandanteneinheit auf.
Die Anmeldung unter URL erfolgt im folgenden Format: https://<unit name>-<tenant name>.<Instana domain>/
Wenn zum Beispiel die Einheit unit0, der Mieter tenant0 und die Instana-Domäne example.com ist, dann wäre URL für die Anmeldung https://unit0-tenant0.example.com/.
Glossar
cn: Allgemeiner Nameou: Organisationseinheitdc: Domänenkomponentedn: Eindeutiger Name
Ein Pfadname (dn) wird vom letzten zum ersten Element geschrieben: cn=Christian Kellner,ou=dev,ou=employee,dc=instana,dc=com
Syntax der LDAP-Abfrage
Manchmal ist es notwendig, etwas komplexere Abfragen zu stellen, um das gewünschte Ergebnis zu erhalten. Die Abfragesprache ist sehr einfach.
Equals(name=John)Es gibt alles zurück, wo der Name gleich
Johnist. Runde Klammern werden eingeschlossen, um den Anfang und das Ende der LDAP-Anweisung zu betonen.AND(&(name=Christian)(l=Solingen))Verwenden Sie diese Syntax, wenn Sie mehr als eine Bedingung haben und alle Bedingungen in der Reihe wahr sein sollen. Wenn Sie zum Beispiel alle Personen mit dem Vornamen Christian finden möchten, die in Solingen leben, könnten Sie diese Abfrage verwenden.
Jedes Argument steht in einem eigenen Satz von Klammern. Die gesamte LDAP-Anweisung muss in einer Hauptgruppe von runden Klammern enthalten sein. Der Operator
&bedeutet, dass jedes Argument wahr sein muss, damit dieser Filter auf das betreffende Objekt angewendet werden kann.NOT(!name=John)Dies ist das Gegenteil des ersten Beispiels.
Wildcard(title=*)
Verwenden Sie den Platzhalter, um nach allem zu suchen:
Combination(&(name=Christian)(|(l=Solingen)(l=Duesseldorf)))Sie gibt alle Nutzer zurück, deren Name christlich ist und die entweder in Düsseldorf oder Solingen wohnen.