Risoluzione degli errori di collegamento con account Active Directory

Se si riceve un errore quando si accede a IBM® QRadar® con un account Active Directory valido, verificare se si hanno problemi di sincronizzazione dell'ora.

Informazioni su questa attività

Quando un account Active Directory valido non è sincronizzato con QRadar Console, potrebbe verificarsi un errore di accesso simile al seguente:

Il nome utente e la password forniti non sono validi. Riprovare.

È possibile sincronizzare manualmente i dati tra il server QRadar e il server di autenticazione LDAP.

Se si utilizza un'autorizzazione basata su attributi utente o gruppi, le informazioni utente vengono importate automaticamente dal server LDAP alla console QRadar .

Ogni gruppo configurato sul server LDAP deve avere un ruolo utente corrispondente o un profilo di sicurezza configurato sulla console QRadar . Per ogni gruppo che corrisponde, gli utenti vengono importati e vengono assegnate le autorizzazioni basate su quel ruolo utente o profilo di sicurezza.

Per impostazione predefinita, la sincronizzazione avviene ogni 24 ore. La sincronizzazione si basa sull'ora dell'ultima esecuzione. Ad esempio, se si esegue manualmente la sincronizzazione alle 11:45 pm e si imposta l'intervallo di sincronizzazione su 8 ore, la successiva sincronizzazione avverrà alle 7:45 am. Se le autorizzazioni di accesso vengono modificate per un utente collegato quando si verifica la sincronizzazione, la sessione diventa non valida. L'utente viene reindirizzato alla schermata di accesso con la successiva richiesta.

eseguire queste operazioni.

Procedura

  1. Se Active Directory non è stato configurato di recente, utilizzare SSH per accedere a QRadar come utente root.
  2. Immettere il seguente comando:

    cat /opt/qradar/conf/login.conf

  3. Verificare che il server sia configurato per l'autenticazione Active Directory .
    Ad esempio, un server autenticato potrebbe essere simile al seguente output:

    LDAPServerURL=ldaps://<server>:<port>

    L'opzione < server> è il controller di dominio Active Directory che riceve l'autenticazione QRadar . 389 è la porta LDAP Active Directory predefinita.

  4. Copiare l'indirizzo IP del controller di dominio di Active Directory .
  5. Immettere il seguente comando e utilizzare l'indirizzo IP del controller di dominio Active Directory per l'opzione < server> :

    ntpdate -q <server>

  6. Verificare che il tempo di offset sia superiore a +/ - 300 secondi.
    L'output potrebbe essere simile al seguente esempio:

    server 192.0.2.0, stratum 3, offset -10774.586000, delay 0.04221 19 Nov 13:59:16 ntpdate[22011]: step time server 192.0.2.0 offset -10774.586000 sec

    Se il tempo di offset è superiore a +/ - 300 secondi, l'intervallo di tempo tra QRadar Console e il server Active Directory causa problemi di autenticazione.

  7. Riavviare il servizio Web QRadar immettendo il seguente comando:

    service tomcat restart

    Il riavvio del servizio Web QRadar disconnette tutti gli utenti, arresta l'esportazione degli eventi e arresta la generazione dei report. Potrebbe essere necessario riavviare manualmente alcuni report o attendere che una finestra di manutenzione completi questa procedura.

  8. Se l'ora del sistema QRadar Console e l'ora del sistema server Active Directory differiscono di almeno 5 minuti, attenersi alla seguente procedura:
    1. Fare clic sulla scheda Amministrazione .
    2. Nel menu di navigazione, fare clic su Configurazione di sistema.
    3. Fare clic su Autenticazione.
    4. Nell'elenco Modulo di autenticazione , selezionare LDAP.
    5. Fare clic su Gestisci sincronizzazione > Esegui sincronizzazione ora.