Configuration de LDAP

Configuration LDAP

Remarque : une fois qu' SAML est activé pour un locataire, vous ne pouvez plus vous connecter à Instana d'aucune autre manière. La configuration de l' SAML e peut être supprimée via API à l'aide d'un jeton disposant des autorisations nécessaires.

Pour configurer une connexion LDAP ( LDAP ), procédez comme suit :

Dans le menu de navigation de l'interface utilisateur d' Instana, sélectionnez Paramètres > Sécurité et accès > Fournisseurs d'identité > LDAP.
Ajoutez les valeurs de configuration correspondantes dans le fichier ` LDAP `. Pour plus d'informations, consultez la section « Fournisseurs d'authentification pris en charge ».
Pour enregistrer la configuration d' LDAP, vous devez saisir un nom d'utilisateur et un mot de passe dans la section **Compte utilisateur LDAP ** du formulaire. Cet utilisateur est ajouté en tant que propriétaire et vous pouvez le modifier après la configuration initiale.

Une fois que vous avez configuré LDAP, les autres utilisateurs correspondant à la requête de groupe sont ajoutés à Instana avec le rôle par défaut. Vous pouvez définir les rôles de chaque utilisateur comme décrit dans la section « Contrôle d'accès basé sur les rôles ».

Instana récupère les rôles et les autorisations associées pour l'utilisateur actuellement authentifié depuis votre serveur LDAP. Les utilisateurs ne peuvent plus se connecter avec leur ancien identifiant et mot de passe : ils doivent désormais utiliser leurs identifiants LDAP.

LDAP

Astuces :

Pour l'édition Classic en auto-hébergement ( Docker ), lorsque vous configurez LDAP avec Instana, veillez à activer le mode débogage du composant « butler », car les informations de débogage sont détaillées et peuvent vous être utiles.
LDAP ne tient pas compte de la casse par défaut.

Fournisseurs d'authentification pris en charge

Modifier en ligne

Actuellement, Microsoft Active Directory et OpenLDAP sont pris en charge.

Pour intégrer Microsoft Active Directory, consultez les exemples disponibles dans la section « Intégration avec Microsoft Active Directory ».
Pour intégrer OpenLDAP,, consultez les exemples disponibles dans la section « Intégration avec OpenLDAP ».

Paramètres de configuration

Modifier en ligne

La configuration de LDAP peut être difficile. Pour trouver les paramètres appropriés pour l' LDAP ation dans l'interface utilisateur d' Instana, consultez les paramètres de configuration suivants :

Remarque : les valeurs de configuration de l' LDAP, telles que dc=instana,dc=com, ne sont données qu'à titre d'exemple; vous devez les remplacer par des valeurs correspondant à la structure de répertoires de votre propre LDAP. Instana ne impose pas de configuration particulière; toutefois, il est recommandé de configurer correctement les champs de configuration de l' LDAP dans votre installation d' LDAP afin de garantir un fonctionnement correct et optimal.

Tableau 1. LDAP paramètres de configuration
Paramètre	Description
URL	LDAP URL s sur le serveur (`ldap://host:389` ou`ldaps://host:636`).
Faire confiance aux autorités de certification lors de l'utilisation de ldaps	Lorsque cette option est activée, toutes les autorités de certification (CA) sont considérées comme fiables lorsque vous utilisez LDAP. Elle est requise pour les autorités non approuvées ou les certificats auto-signés.
L'utilisateur en lecture seule possède un accès anonyme à LDAP	Détermine si l'accès en lecture seule requiert une authentification. S'il est désactivé, un utilisateur et son mot de passe doivent être spécifiés.
Utilisateur	L'utilisateur en lecture seule « LDAP ». Il doit disposer de droits d'accès suffisants pour afficher la liste des`group_query` groupes. Elle n'est requise que si l'accès anonyme est insuffisant.
Mot de passe	Mot de passe de l'utilisateur en lecture seule. Elle n'est requise que si l'accès anonyme est insuffisant.
Base	Base des requêtes (`dc=instana,dc=com`).
Requête de groupe	Requête permettant de répertorier un groupe ou un ensemble de groupes dont les membres ont accès à Instana (ou= Instana ).
Zone Membre de groupe	Nom de la zone qui contient les noms distinctifs des utilisateurs répertoriés via group_query (uniqueMember).
Modèle de requête utilisateur	Modèle permettant d'interroger l'utilisateur, par exemple (`uid=%s`).
Zone Courrier électronique	Nom de la zone où trouver l'adresse électronique.
Nom d'utilisateur	L'utilisateur qui est considéré comme utilisateur propriétaire dans Instana. Un essai de connexion est effectué avant que les paramètres ne soient sauvegardés.
Mot de passe	Mot de passe de l'utilisateur propriétaire Instana.
Mappage du nom distinctif utilisateur	Le champ (par exemple`distinguishedName`) qui contient le DN de l'utilisateur. Ce paramètre est facultatif.
USER_FIELD	La zone où les utilisateurs du groupe sont référencés par la valeur de cet attribut (si aucun DN n'est utilisé). Ce paramètre est facultatif.

TLS

Modifier en ligne

Se connecter via le protocole LDAPS ( LDAP ) sécurisé peut être aussi simple que de fournir ldaps://url:636. Si le serveur n'accepte qu'un niveau de chiffrement plus élevé que celui fourni par votre installation d' Java 8, il est nécessaire d'utiliser l'extension de cryptographie. Vous pouvez le télécharger à l'adresse Oracle et le configurer comme indiqué sur la page de documentation de JCE.

Par défaut, un certificat auto-signé est requis pour le site LDAP. Par conséquent, une autorité de certification n'est pas validée.

Vous pouvez activer la validation de l'autorité de certification en désélectionnant la case à cocher Faire confiance à toutes les autorités de certification tout en utilisant ldaps dans la section Paramètres requis .

Recherche des valeurs de configuration correctes

Modifier en ligne

Comme vous ne connaissez pratiquement rien à la structure du serveur LDAP, il est préférable de commencer par vous faire une idée générale.

ldapsearch -H ldap://ldap.forumsys.com:389 -x -b "DC=example,DC=com" -D "cn=read-only-admin,dc=example,dc=com" -w "password"

Consultez la description suivante des paramètres:

-H : Serveur LDAP URL.
-x : Utiliser l'authentification simple (la plupart des serveurs LDAP utilisent ce type d'authentification).
-b: requête de base.
-D : l'utilisateur « LDAP » en lecture seule.
-w : Le mot de passe de l'utilisateur en lecture seule « LDAP ».

Important : les chemins d'accès de type « LDAP » sont lus du dernier élément vers le premier. La requête de recherche « LDAP » renvoie une liste d'entrées commençant à la racine.

Maintenant que vous disposez de la sortie, vous voulez les paramètres corrects.

Requête de groupe

Modifier en ligne

Tout d'abord, recherchez le groupe correspondant dans lequel les utilisateurs souhaités sont membres. Dans le cas suivant, prenez mathematicians comme exemple:

    mathematicians, example.com
    dn: ou=mathematicians,dc=example,dc=com
    uniqueMember: uid=euclid,dc=example,dc=com
    uniqueMember: uid=riemann,dc=example,dc=com
    uniqueMember: uid=euler,dc=example,dc=com
    uniqueMember: uid=gauss,dc=example,dc=com
    uniqueMember: uid=test,dc=example,dc=com
    ou: mathematicians
    cn: Mathematicians
    objectClass: groupOfUniqueNames
    objectClass: top

Pour trouver ce groupe, utilisez cn=Mathematicians ou ou=mathematicians.

Mappage du nom distinctif utilisateur

Modifier en ligne

Dans la sortie, vous pouvez voir l'attribut uniqueMember. Il s'agit du nom distinctif car il vous permet d'accéder aux utilisateurs qui sont membres de ce groupe.

Modèle de requête utilisateur

Modifier en ligne

Maintenant, vous devez trouver l'utilisateur réel. Recherchez un utilisateur dans la sortie de la première requête.

    euler, example.com
    dn: uid=euler,dc=example,dc=com
    objectClass: inetOrgPerson
    objectClass: organizationalPerson
    objectClass: person
    objectClass: top
    uid: euler
    sn: Euler
    cn: Leonhard Euler
    mail: euler@ldap.forumsys.com

L'ID unique de l'utilisateur est euler, donc user_query_template est (uid=%s). ( %s dans user_query_template est utilisé comme marque de réservation pour la connexion utilisateur fournie.)

Zone Courrier électronique

Modifier en ligne

Dans l'extrait ci-dessus, le champ « email » porte ce nom mail, qui correspond également à la valeur définie dans le paramètre « Email Field ».

Vérification de la configuration

Modifier en ligne

Pour vérifier votre configuration, remplacez les valeurs des espaces réservés par celles de la configuration de l' LDAP, accessible via l'interface utilisateur de l' Instana, puis lancez la recherche de groupes et la recherche d'utilisateurs.

Remarque : il est important de les exécuter avec les valeurs exactes fournies en entrée et sans ajouter d'autres paramètres. Les deux peuvent fonctionner si l' LDAP ation est correctement configurée et si les valeurs sont correctes.

Si l'une des commandes ne renvoie pas les valeurs correctes, Instana LDAP ne fonctionne pas.

Si les commandes suivantes renvoient des valeurs, cela signifie que le serveur LDAP est configuré et contient les données correspondantes. Sinon, il convient de vérifier la configuration et les données de l' LDAP.

Recherche de groupes
```
ldapsearch -H {url} -x -D "{ro_user}" -w "{ro_password}" -b "{base}" "{group_query}"
 
```
Elle renvoie les groupes disposant de droits d'accès de type « Instana ». Sans cela, même si l'utilisateur est présent, Instana ne peut pas vérifier s'il est bien membre.
Recherche d'utilisateur
```
ldapsearch -H {url} -x -D "{ro_user}" -w "{ro_password}" -b "{base}" "{user_query_template=login}"
 
```
Où « login » correspond au nom d'utilisateur fourni qui remplace %s dans le modèle user_query_template. Elle renvoie l'utilisateur spécifique.

L'utilisateur doit également disposer de l'attribut de zone d'e-mail.

Accéder à l'interface utilisateur d' Instana

Modifier en ligne

LDAP L'authentification est configurée au niveau du tenant.

Pour vous connecter à Instana via l'authentification LDAP, rendez-vous sur la page de connexion ou sur n'importe quelle autre page d'un tenant.

Remarque: Si vous accédez à une page autre que la page de connexion d'une unité locataire, vous êtes redirigé vers la page de connexion du locataire.

L' URL e de connexion est le suivant : https://<unit name>-<tenant name>.<Instana domain>/

Par exemple, si l'unité est unit0, le locataire est tenant0, et le domaine d' Instana est example.com, alors l'adresse URL à utiliser https://unit0-tenant0.example.com/ pour se connecter serait.

Glossaire

Modifier en ligne

cn: nom usuel
ou: Unité organisationnelle
dc: Composant de domaine
dn: nom distinctif

Un nom de chemin (dn) s'écrit de l'élément le plus à droite vers le plus à gauche : cn=Christian Kellner,ou=dev,ou=employee,dc=instana,dc=com

Syntaxe de requête LDAP

Modifier en ligne

Il est parfois nécessaire de spécifier des requêtes un peu plus complexes pour obtenir le résultat souhaité. Le langage de requête est simple.

Equals
```
(name=John)
 
```
Elle renvoie tous les éléments dont le nom est égal à John. Les parenthèses sont ajoutées pour mettre l'accent sur le début et la fin de l'instruction LDAP.
AND
```
(&(name=Christian)(l=Solingen))
 
```
Utilisez cette syntaxe lorsque vous avez plusieurs conditions et que vous souhaitez qu'elles soient toutes remplies. Par exemple, si vous voulez trouver toutes les personnes qui ont le prénom de Christian et qui vivent à Solingen, vous pouvez utiliser cette requête.

Chaque argument se trouve dans son propre ensemble de parenthèses. L'intégralité de l'instruction LDAP doit être indiquée entre des parenthèses principales. L'opérateur & signifie que chaque argument doit être vrai pour que ce filtre s'applique à votre objet en question.
NOT
```
(!name=John)
 
```
C'est le contraire du premier exemple.
Wildcard
```
(title=*)
 
```

Utilisez le caractère générique pour rechercher n'importe quoi:

Combination
```
(&(name=Christian)(|(l=Solingen)(l=Duesseldorf)))
 
```
Il renvoie tous les utilisateurs dont le nom est chrétien et qui vivent à Duesseldorf ou à Solingen.