Active Directory LDAP
这个Active Directory LDAPInsightConnect插件通常支持:
- 用户帐户创建、密码重置、启用和禁用
- 对象修改和删除
- LDAP查询
Active Directory LDAP Plugin Actions的完整列表
要查看Active Directory LDAP插件的所有可用操作,请参见扩展库的“文档”选项卡.
Active Directory LDAP连接配置
Active Directory LDAP插件要求:
- 域用户名和密码
- Active Directory域控制器的完全限定主机名或IP地址
- LDAP或LDAPS的端口(389或636)(默认为LDAP/端口389)
用户帐户特权和登录
请记住,到Active Directory LDAP的InsightConnect连接将继承连接中配置的域用户帐户的所有权限。建议使用最小权限模型。此帐户执行的所有操作都将根据Active Directory中的日志记录配置进行记录。
有几种方法可以创建新的Active Directory LDAP连接:
- 从InsightConnect的主页,导航到
设置>插件和工具>连接,点击添加连接,然后选择Rapid7 InsightVM云来自插件列表 - 从工作流生成器中,添加操作步骤,选择插件,选择操作,然后单击添加新连接在
选择一个连接步 - 从工作流导入向导中,单击添加新连接在
配置详细信息插件的步骤
到达连接配置界面后:
- 命名连接(例如,
广告<用户名>) - 选择可以与AD域控制器通信的编排器
- 创建一个新的凭据,命名凭据,并输入域用户或服务帐户用户名和密码(或者,选择一个现有凭据)
- 输入AD域控制器的完全限定主机名或IP地址(如果您有多个域控制器,则您的编排器可以与之通信的任何域控制器都可以)
- AD LDAP连接的默认端口为389。如果已在域控制器上启用LDAP,则端口应更改为636(如果不确定,请先尝试389,并确保在保存后检查连接测试!)
- SSL设置为
错误的用于通过389端口进行LDAP连接。SSL设置为真正的用于端口636的LDAPS连接。 - 在大多数情况下,追踪转介应该设置为
真正的以确保LDAP请求完成。LDAP reference提供对可能处理LDAP请求的备用位置的引用。在分区目录中,根据定义,在任何一个目录服务代理上,整个目录并不总是可用的。将此值设置为真正的确保您的请求将路由到可以处理它的Active Directory服务器。 - 单击“保存并保存”检查你的连接确认它成功了
故障排除
Active Directory LDAP连接的问题通常与网络问题有关,其中Orchestrator无法与域控制器通信,或者与凭据问题有关,其中提供的用户名和密码无法向指定的域控制器进行身份验证。下面是一些常见的错误消息和相关的故障排除建议。
无效的服务器地址
当您的编排器无法与指定主机通信时,您可能会收到以下错误消息。确认您在连接配置中具有正确的主机名或IP地址。如果问题仍然存在,则您的编排器可能由于网络问题而无法联系指定的域控制器主机。请咨询网络管理员以获取帮助。
1.
这个插件设计的服务目前不可用。稍后再试。如果问题仍然存在,请联系技术支持。响应是:无效的服务器地址
由对等体重置连接
当连接中的端口和SSL设置未对齐时,您可能会收到以下错误消息。请确保使用SSL设置为的端口389(LDAP)错误的端口636 (LDAPS), SSL设置为真正的.
1.
这个插件设计的服务目前不可用。稍后再试。如果问题仍然存在,请联系技术支持。Response was: socket ssl wrapping error: [Errno 104] Connection reset by peer .日志含义
无效的证书
当您的Orchestrator无法使用提供的用户名和密码向域控制器进行身份验证时,您可能会收到以下错误消息。编辑凭据并更新用户名和/或密码,然后重试连接测试。
1.
提供的用户名或密码无效。验证您的用户名和密码是否正确。响应是:自动绑定不成功- invalidCredentials
这个页面对你有帮助吗?