Active Directory LDAP

这个Active Directory LDAPInsightConnect插件通常支持:

  • 用户帐户创建、密码重置、启用和禁用
  • 对象修改和删除
  • LDAP查询

Active Directory LDAP Plugin Actions的完整列表

要查看Active Directory LDAP插件的所有可用操作,请参见扩展库的“文档”选项卡.

Active Directory LDAP连接配置

Active Directory LDAP插件要求:

  • 域用户名和密码
  • Active Directory域控制器的完全限定主机名或IP地址
  • LDAP或LDAPS的端口(389或636)(默认为LDAP/端口389)

用户帐户特权和登录

请记住,到Active Directory LDAP的InsightConnect连接将继承连接中配置的域用户帐户的所有权限。建议使用最小权限模型。此帐户执行的所有操作都将根据Active Directory中的日志记录配置进行记录。

有几种方法可以创建新的Active Directory LDAP连接:

  • 从InsightConnect的主页,导航到设置>插件和工具>连接,点击添加连接,然后选择Rapid7 InsightVM云来自插件列表
  • 从工作流生成器中,添加操作步骤,选择插件,选择操作,然后单击添加新连接选择一个连接
  • 从工作流导入向导中,单击添加新连接配置详细信息插件的步骤

到达连接配置界面后:

  1. 命名连接(例如,广告<用户名>)
  2. 选择可以与AD域控制器通信的编排器
  3. 创建一个新的凭据,命名凭据,并输入域用户或服务帐户用户名和密码(或者,选择一个现有凭据)
  4. 输入AD域控制器的完全限定主机名或IP地址(如果您有多个域控制器,则您的编排器可以与之通信的任何域控制器都可以)
  5. AD LDAP连接的默认端口为389。如果已在域控制器上启用LDAP,则端口应更改为636(如果不确定,请先尝试389,并确保在保存后检查连接测试!)
  6. SSL设置为错误的用于通过389端口进行LDAP连接。SSL设置为真正的用于端口636的LDAPS连接。
  7. 在大多数情况下,追踪转介应该设置为真正的以确保LDAP请求完成。LDAP reference提供对可能处理LDAP请求的备用位置的引用。在分区目录中,根据定义,在任何一个目录服务代理上,整个目录并不总是可用的。将此值设置为真正的确保您的请求将路由到可以处理它的Active Directory服务器。
  8. 单击“保存并保存”检查你的连接确认它成功了

故障排除

Active Directory LDAP连接的问题通常与网络问题有关,其中Orchestrator无法与域控制器通信,或者与凭据问题有关,其中提供的用户名和密码无法向指定的域控制器进行身份验证。下面是一些常见的错误消息和相关的故障排除建议。

无效的服务器地址

当您的编排器无法与指定主机通信时,您可能会收到以下错误消息。确认您在连接配置中具有正确的主机名或IP地址。如果问题仍然存在,则您的编排器可能由于网络问题而无法联系指定的域控制器主机。请咨询网络管理员以获取帮助。

         
1.
这个插件设计的服务目前不可用。稍后再试。如果问题仍然存在,请联系技术支持。响应是:无效的服务器地址

由对等体重置连接

当连接中的端口和SSL设置未对齐时,您可能会收到以下错误消息。请确保使用SSL设置为的端口389(LDAP)错误的端口636 (LDAPS), SSL设置为真正的.

         
1.
这个插件设计的服务目前不可用。稍后再试。如果问题仍然存在,请联系技术支持。Response was: socket ssl wrapping error: [Errno 104] Connection reset by peer .日志含义

无效的证书

当您的Orchestrator无法使用提供的用户名和密码向域控制器进行身份验证时,您可能会收到以下错误消息。编辑凭据并更新用户名和/或密码,然后重试连接测试。

         
1.
提供的用户名或密码无效。验证您的用户名和密码是否正确。响应是:自动绑定不成功- invalidCredentials