连接到LDAP目录服务器

LDAP (Lightweight Directory Access Protocol,轻量级目录访问协议)是一种允许应用程序从LDAP服务器检索用户数据的协议。您可以将AppSpider Enterprise连接到LDAP服务器进行身份验证,这将使您能够使用LDAP目录为您的用户提供访问权限。

有几种方法可用于为AppSpider Enterprise设置LDAP:

  • 在安装期间-AppSpider Enterprise安装程序包含用于设置LDAP的选项。您需要提供LDAP服务器地址、向服务器进行身份验证的凭据以及基本DN。

  • 后安装—如果您在安装过程中没有连接LDAP服务器到AppSpider Enterprise,请不要担心。您将能够通过修改NTOE配置文件在安装后设置LDAP。

请记住,在将AppSpider Enterprise连接到LDAP服务器后,您只能使用LDAP凭据登录。您将无法使用您的本地帐户登录。

在安装期间连接LDAP服务器

连接LDAP服务器的最简单方法是在安装AppSpider Enterprise时进行连接。安装程序提供一个引导界面,要求您提供设置AppSpider Enterprise所需的信息,包括将AppSpider Enterprise连接到Active Directory或LDAP电子目录所需的信息。

在将AppSpider Enterprise连接到LDAP服务器之前,您需要指定要安装源文件的位置,存储数据文件,并提供要连接到数据库的信息。提供这些详细信息后,您将能够添加LDAP服务器的信息。

如果计划使用LDAP进行身份验证,则无需设置AppSpider企业管理员帐户。AppSpider Enterprise将使用Active Directory或eDirectory作为身份验证源。访问数据库连接时,不要选择创建AppSpider企业管理员帐户选项。

要在安装过程中配置LDAP,您需要选择安装LDAP AD会员集成选项或安装LDAP eDirectory成员身份集成“配置appspider企业”屏幕上的选项。选择符合您身份验证需求的选项。

在设置数据库连接后,在以下屏幕上,您需要提供Active Directory或LDAP eDirectory的信息。

第一个LDAP配置屏幕允许您设置LDAP服务器的连接详细信息。

您需要提供以下信息:

  • 服务器地址- 完全限定的域名或LDAP服务器的IP地址。地址必须包含LDAP运行的端口。例如,192.168.1.0:389是服务器地址的有效格式的示例。

  • 基本DN- 基本DN指的是目录信息树中的级别,其中LDAP客户端将开始搜索用户。基础DN的示例是dc=示例,dc=com

  • 连接用户名和密码-您选择的帐户应该具有访问Active Directory或具有搜索权限的eDirectory。这允许AppSpider Enterprise连接到服务器并通过用户名进行搜索。

  • 连接保护—指定连接是否安全。一般来说,安全连接使用端口636进行SSL。非ssl连接使用端口389。

  • 属性映射电子邮件—属性map email是包含用户主邮件的LDAP属性。这个属性的默认值是“mail”。

下一个屏幕要求您为系统管理员设置一个帐户。

您需要提供以下信息:

  • 系统管理员—此选项指定要分配系统管理员权限的LDAP用户名。只能为该选项指定一个用户名。如果需要添加更多的系统管理员,请参见“添加多个系统管理员”。

  • 账户的客户名称-此选项标识要分配给LDAP用户的客户端。如果您需要刷新,客户端是与AppSpider Enterprise交互的用户的集合;它设置了谁可以使用该应用程序的界限。例如,如果要使用默认客户机,可以为此选项输入“webscantest”。为用户设置客户端后,无法对其进行更改。

  • 帐户组名称—该选项指定可以登录AppSpider Enterprise来管理对应用的访问的AppSpider Enterprise组的名称。

  • 属性地图UID—属性映射UID可以指定支持Windows 4.0、Windows 95、Windows 98、LAN Manager等以前版本的客户端和服务器的登录名。默认属性映射UID为sAMAccountName

配置LDAP设置后,可以继续安装的其余部分。

安装AppSpider Enterprise后配置LDAP

如果您已经安装了AppSpider Enterprise,并且希望使用LDAP进行身份验证,则需要修改NTOE配置文件并添加LDAP目录的信息。需要修改两个版本的NTOE配置文件。它们位于以下目录中:

  • C:\ Program Files(x86)\ Rapid7 \ appspider Enterprise 3.x \ Iis.net \ bin

  • C: Program Files(x86)\Rapid7\AppSpider Enterprise 3.x\AppSpiderScheduler2

你需要替换“3”。您正在运行的AppSpider Enterprise版本的文件路径。

为AppSpider Enterprise配置LDAP。

  1. 打开C: Program Files(x86)\Rapid7\AppSpider Enterprise 3.x\IIS.NET\bin\NTOE.config使用文本编辑器。您可能需要具有管理员权限才能编辑该文件。

  2. 找到包含元素。

  3. 在该元素中,找到以<添加名称=“ntomembershipproviderad”启动的行>。

  1. 提供以下选项的信息:

  • autoAttachAccountClientName-此选项标识要分配给LDAP用户的客户端。如果您需要刷新,客户端是与AppSpider Enterprise交互的用户的集合;它设置了谁可以使用该应用程序的界限。例如,如果要使用默认客户机,可以为此选项输入“webscantest”。为用户设置客户端后,无法对其进行更改。

  • autoAttachAccountGroupName- 如果用户在appsspider中创建新组,则使用某些设置权限,首次访问和使用AD Creders的新用户将在其上将Appsspider附加到此组中。

  • 自动附加系统管理员—此选项指定要分配系统管理员权限的LDAP用户名。只能为该选项指定一个用户名。如果需要添加更多的系统管理员,请参见“添加多个系统管理员”。

  • ldapServer-此选项标识要使用的LDAP服务器。主机名必须是LDAP服务器的完全限定域名或IP地址,并包括运行LDAP的端口。LDAP服务器地址的一个示例是my.server.com: 389

  • ldapUser—此选项指定具有附加LDAP权限的LDAP用户名。

  • ldapPassword-此选项指定您指定的用户名的密码ldapUser.您可以使用NTO.Enterprise.Tools.PasswordEncrypter.exe在安装路径中找到的实用程序,即:C:\ Program Files(X86)\ Rapid 7 \ Appspider Enterprise 3.8 \ IIS.NET \ Bin

  • ldapBase- 此选项指定从开始搜索用户的基础DN,即:CN =用户,DC =示例,DC = COM。

  • ldapSSL—该选项指定与LDAP环境的通信是否使用SSL。有效的值真的

  • ldapAllwaysTrustCertificate—该选项指定是否跳过从LDAP验证证书。有效的值真的

  • ldapuidattribute.- 此选项指定使用LDAP属性登录用户登录的映射。IE:sAMAccountName

  • ldapEmailAttribute- 此选项指定具有LDAP属性的用户登录电子邮件的映射。IE:邮件.您可以使用NTO.Enterprise.Tools.PasswordEncrypter.exe在安装路径中找到的实用程序,即:C:\ Program Files(X86)\ Rapid 7 \ Appspider Enterprise 3.8 \ IIS.NET \ Bin

保存文件。

再次重复这些步骤C: Program Files(x86)\Rapid7\AppSpider Enterprise 3.X\AppSpiderScheduler2\NTOE.config

通过LDAP添加客户端帐户

每个人都使用AppSpider需要拥有一个帐户,该帐户确定了他们对应用程序的某些区域的访问水平和他们能做的类型。您可以为Appspider Enterprise添加两个帐户类型:

  • 系统管理员帐户- 系统管理员帐户可以控制系统和客户端帐户的设置和配置。此帐户类型未映射到客户端,可以创建不同的组以分配用户,权限或角色。系统管理员可以为每个客户端管理用户,组和配置。

  • 客户账户-客户端帐户由系统管理员创建,以帮助分离权限和配置。每个帐户都映射到一个客户机,这样就可以轻松地与第三方系统集成。

添加客户端帐户

如果使用LDAP进行身份验证,则无法通过AppSpider企业用户界面添加用户帐户。相反,用户应该使用其LDAP凭据登录到AppSpider Enterprise。登录后,他们的帐户将映射到您为LDAP指定的客户端和组。

添加多个系统管理员帐号

添加系统管理员是一个需要您的多步过程:

  • 使用系统管理员帐户验证所有用户至少登录Appspider Enterprise。登录后,将其帐户映射为系统管理员帐户。您只能在发生此映射后添加另一个系统管理员帐户。

  • 通过修改NTOE配置文件,增加新的系统管理员。

  • 使用新添加的系统管理员帐号登录“AppSpider Enterprise”。

  • 重复此过程以添加其他系统管理员。

现在你熟悉先决条件,让我们仔细看看你如何添加另一个系统管理员:

  1. 打开C: Program Files(x86)\Rapid7\AppSpider Enterprise 3.x\IIS.NET\bin\NTOE.config使用文本编辑器。您可能需要具有管理员权限才能编辑该文件。

  2. 找到包含元素。

  3. 在该元素中,找到以“<添加名称=”ntomembershipproviderad“的行开始的行>。

  1. 找到选项自动附加系统管理员

  1. 替换当前为指定的用户名自动附加系统管理员使用您想要添加的系统管理员用户名。

  1. 保存更改。

  2. 再次重复这些步骤C: Program Files(x86)\Rapid7\AppSpider Enterprise 3.X\AppSpiderScheduler2\NTOE.config

  3. 修改两个NTOE配置文件后,您需要使用刚才添加的系统管理员帐户登录到AppSpider Enterprise。

如果用户已作为客户端中存在于Appspider Enterprise中,则无法将它们添加为系统管理员。检查客户端是否已存在该帐户是否已存在并在AppSpider Enterprise中存在,以删除用户。要查看客户的列表,请转至系统>客户在AppSpider企业用户界面中。

删除它们后,可以将它们的帐户信息添加到NTOE配置文件中。