Resolución de errores de inicio de sesión con cuentas de Active Directory

Si obtiene un error al iniciar sesión en IBM® QRadar® con una cuenta válida de Active Directory , verifique si tiene problemas de sincronización de tiempo.

Acerca de esta tarea

Cuando una cuenta válida de Active Directory no está sincronizada con QRadar Console, se puede producir un error de inicio de sesión similar al siguiente:

El nombre de usuario y la contraseña que ha proporcionado no son válidos. Inténtelo de nuevo.

Puede sincronizar manualmente los datos entre el servidor de QRadar y el servidor de autenticación LDAP.

Si utiliza una autorización basada en atributos o grupos de usuarios, la información de usuario se importa automáticamente desde el servidor LDAP a la consola de QRadar .

Cada grupo configurado en el servidor LDAP debe tener un rol de usuario coincidente o un perfil de seguridad configurado en la consola de QRadar . Para cada grupo que coincida, los usuarios se importan y se les asignan permisos en función del rol o el perfil de seguridad de cada usuario.

De forma predeterminada, la sincronización se produce cada 24 horas. La temporización de la sincronización se basa en la hora de la última ejecución. Por ejemplo, si ejecuta manualmente la sincronización a las 23:45 horas y establece la sincronización en 8 horas, la siguiente sincronización se producirá a las 07:45 horas. Si cambian los permisos de acceso para un usuario que ha iniciado sesión cuando se llevaba a cabo la sincronización, la sesión deja de ser válida. Se redirige al usuario a la pantalla de inicio de sesión con la solicitud siguiente.

Siga estos pasos.

Procedimiento

  1. Si Active Directory no se ha configurado recientemente, utilice SSH para iniciar sesión en QRadar como usuario root.
  2. Especifique el mandato siguiente:

    cat /opt/qradar/conf/login.conf

  3. Verifique que el servidor esté configurado para la autenticación de Active Directory .
    Por ejemplo, un servidor autenticado puede parecerse a la salida siguiente:

    LDAPServerURL=ldaps://<server>:<port>

    La opción < servidor> es el controlador de dominio de Active Directory que recibe la autenticación de QRadar . 389 es el puerto LDAP predeterminado de Active Directory .

  4. Copie la dirección IP del controlador de dominio de Active Directory .
  5. Escriba el mandato siguiente y utilice la dirección IP del controlador de dominio de Active Directory para la opción < server> :

    ntpdate -q <server>

  6. Verifique que el tiempo de desplazamiento sea superior a +/-300 segundos.
    La salida podría parecerse al ejemplo siguiente:

    server 192.0.2.0, stratum 3, offset -10774.586000, delay 0.04221 19 Nov 13:59:16 ntpdate[22011]: step time server 192.0.2.0 offset -10774.586000 sec

    Si el tiempo de desplazamiento es superior a +/-300 segundos, el intervalo de tiempo entre QRadar Console y el servidor de Active Directory provoca los problemas de autenticación.

  7. Reinicie el servicio web de QRadar escribiendo el mandato siguiente:

    service tomcat restart

    El reinicio del servicio web de QRadar cierra la sesión de todos los usuarios, deja de exportar sucesos y deja de generar informes. Es posible que tenga que reiniciar manualmente algunos informes o esperar a que una ventana de mantenimiento complete este procedimiento.

  8. Si la hora del sistema QRadar Console y la hora del sistema del servidor de Active Directory difieren en al menos 5 minutos, siga estos pasos:
    1. Pulse la pestaña Admin .
    2. En el menú de navegación, pulse Configuración del sistema.
    3. Pulse Autenticación.
    4. En la lista Módulo de autenticación , seleccione LDAP.
    5. Pulse Gestionar sincronización > Ejecutar sincronización ahora.