Uso de LDAP o Active Directory para autenticación - spectrum_platform - 23.1

Guía de Spectrum Administration

Product type
Portfolio
Integrate
Locate
Verify
Product family
Spectrum
Product
Spectrum > Spectrum Platform
Version
23.1
Language
Español (México)
Product name
Spectrum Technology Platform
Title
Guía de Spectrum Administration
First publish date
2007
Last updated
2024-02-07
Published on
2024-02-07T20:42:41.711499

Spectrum Technology Platform se puede configurar para usar un servidor LDAP o Active Directory para la autenticación.

Cuando un usuario inicia sesión en Spectrum Technology Platform, sus credenciales se verifican mediante LDAP o AD. Luego el sistema verifica si hay un usuario de Spectrum Technology Platform con el mismo nombre. Si lo hay, se inicia la sesión del usuario. De lo contrario, se crea una cuenta de usuario Spectrum Technology Platform automáticamente para el usuario y se le otorga la función de user.

Así es como funciona el proceso:



Antes de configurar Spectrum Technology Platform para usar un servicio de directorio para autenticación, confirme que su servicio de directorio cumpla con estos requisitos:

  • Para LDAP, el servidor del directorio debe cumplir con LDAP Version 3.
  • No hay requisitos específicos para el servidor Active Directory.
Nota: Recomendamos que se ponga en contacto con la PreciselyAsistencia técnica o Servicios profesionales para que lo guíen por este proceso.
Nota: Cuando se configura Spectrum mediante LDAP o STS o SSO_STS, si la propiedad es, de manera predeterminada, spectrum.security.account.createNonExisting=true, los usuarios de Active Directory se crean automáticamente en Spectrum Technology Platform después de que inicien sesión por primera vez en Spectrum. Si desactiva la propiedad spectrum.security.account.createNonExisting=false, los usuarios de LDAP/Active Directory no podrán autenticarse en Spectrum Technology Platform hasta que el administrador cree los usuarios de forma manual.
  1. Si existen usuarios configurados en Spectrum Management Console y desea utilizarlos después de activar la autenticación LDAP o Active Directory, cree los mismos usuarios en su sistema LDAP o Active Directory. Debe usar el mismo nombre de usuario que en Spectrum Technology Platform.
    Nota: No es necesario crear el usuario "admin" en LDAP o Active Directory, ya que este usuario seguirá utilizando Spectrum Technology Platform para la autenticación después de que active LDAP o Active Directory.
  2. Detenga el servidor de Spectrum Technology Platform.
  3. Activación de la autenticación LDAP o Active Directory:
    1. Abra este archivo de configuración en un editor de texto:
      server\conf\spectrum-container.properties
    2. Defina la propiedad spectrum.security.authentication.basic.authenticator en LDAP:
      spectrum.security.authentication.basic.authenticator=LDAP

      Se usa la configuración LDAP para activar Active Directory y LDAP.

    3. Guarde y cierre el archivo.
  4. Configuración de las propiedades de conexión:
    1. Abra este archivo de configuración en un editor de texto:
      server\conf\spring\security\spectrum-config-ldap.properties
    2. Modifique estas propiedades.
      spectrum.ldap.url
      La URL, incluido el puerto, del servidor de LDAP o Active Directory. Por ejemplo: spectrum.ldap.url=ldap://ldapserver.example.com:389/
      spectrum.ldap.dn.format
      El formato que se usará para buscar las cuentas de usuario en LDAP o Active Directory. Use la variable %s para el nombre de usuario. Por ejemplo:
      LDAP:
      spectrum.ldap.dn.format=uid=%s,ou=users,dc=example,dc=com
      Active Directory:
      spectrum.ldap.dn.format=%s@example.com
      Nota: Si debe configurar varios dominios LDAP, especifique estos dominios encerrando cada uno entre comillas simples y separándolos con comas. Esto no se aplica a las configuraciones de dominio único. Por ejemplo:
      spectrum.ldap.dn.format='CN=%s,CN=Users,dc=spectest,dc=pvt',' CN=%s,ou=Services,dc=spectest,dc=pvt','CN=%s,ou=managers,dc=spectest,dc=pvt'
      spectrum.ldap.dn.base
      El nombre distintivo (dn) para buscar cuentas de usuario en LDAP o Active Directory. Por ejemplo:
      LDAP:
      spectrum.ldap.dn.base=ou=users,dc=example,dc=com
      Active Directory:
      spectrum.ldap.dn.base=cn=Users,dc=example,dc=com
      spectrum.ldap.search.filter
      Un filtro de búsqueda para usar cuando se busquen atributos como funciones. El filtro de búsqueda puede contener estas variables:
      • {user} es el nombre del usuario que inicia sesión en Spectrum Technology Platform
      • {dn} es el nombre distintivo que se especifica en spectrum.ldap.dn.base.
      Por ejemplo, para LDAP:
      spectrum.ldap.search.filter=uid={user}
      . Para Active Directory:
      spectrum.ldap.search.filter=userPrincipalName={dn}
      spectrum.ldap.attribute.roles
      Opcional. Especifica el atributo de LDAP o Active Directory que contiene el nombre de las funciones de Spectrum Technology Platform para el usuario. El nombre del rol que especifique en el atributo de LDAP o Active Directory debe coincidir con el nombre de la función que se definió en Spectrum Technology Platform.
      Si este atributo contiene una función llamada designer entonces esta función designer se le otorgaría al usuario.
      Solo puede especificar un atributo, el cual puede contener varias funciones. Para especificar múltiples funciones en un atributo, separe cada una con una coma. También puede especificar un atributo con múltiples valores; cada instancia del atributo contiene una función diferente. Solo las funciones especificadas en este atributo se usan en Spectrum Technology Platform. Ningún otro atributo de LDAP o Active Directory tendrá un impacto en las funciones de Spectrum Technology Platform.
      Si el usuario tiene funciones asignadas en Spectrum Technology Platform, los permisos del usuario corresponden a la unión de las funciones de LDAP o Active Directory con las funciones de Spectrum Technology Platform.
      Por ejemplo, para aplicar las funciones definidas en el atributo spectrumroles, deberá especificar:
      spectrum.ldap.attribute.roles=spectrumroles
      Nota: Cuando un usuario inicia sesión por primera vez y no tiene una cuenta de usuario de Spectrum Technology Platform, se crea una automáticamente y se le otorga la función de user. Los permisos efectivos del usuario corresponden a la unión de los permisos de la función de user y las funciones especificadas en los atributos que se indican en la propiedad spectrum.ldap.attribute.roles.
      Nota: Si ve las funciones del usuario en Spectrum Management Console, no verá las funciones que la propiedad spectrum.ldap.attribute.roles asignó al usuario.
      spectrum.ldap.pool.min
      El tamaño mínimo del grupo de conexiones para las conexiones al servidor de LDAP o Active Directory.
      spectrum.ldap.pool.max
      La cantidad máxima de conexiones simultáneas al servidor de LDAP o Active Directory.
      spectrum.ldap.timeout.connect
      Especifica cuánto se debe esperar para establecer una conexión al servidor de LDAP o Active Directory, en milisegundos. El valor predeterminado es 1000 milisegundos.
      spectrum.ldap.timeout.response
      Especifica cuánto se debe esperar por una respuesta del servidor de LDAP o Active Directory después de que se establece la conexión, en milisegundos. El valor predeterminado es 5000 milisegundos.
      spectrum.ldap.retry.count
      The number of times the Spectrum Technology Platform server will try connecting to the LDAP or Active Directory server if the initial connection attempt fails. Set this to 0 if you want to allow only one connection attempt.
      Consejo: If you cluster your LDAP or Active Directory servers, we recommend that you set this value to 1 or more to allow the LDAP or Active Directory load balancer to redirect the connection request to a different server if the one that is initially tried is unavailable.
      spectrum.ldap.retry.wait
      El número de milisegundos de espera entre los intentos de conexión.
      spectrum.ldap.retry.backoff
      El factor de multiplicación que se usa para aumentar el tiempo de espera después de cada reintento interrumpido. Por ejemplo,
      spectrum.ldap.timeout.connect=1000 ... spectrum.ldap.retry.count=5 spectrum.ldap.retry.wait=500 spectrum.ldap.backoff=2
      . En este caso, el tiempo de espera del primer intento de conexión es de 1,000 milisegundos, y el tiempo de espera de cada uno de los cinco reintentos aumenta por un factor de dos, lo que origina los siguientes tiempos de espera para cada reintento:
      Retry attempt 1: 500 milliseconds Retry attempt 2: 1,000 milliseconds Retry attempt 3: 2,000 milliseconds Retry attempt 4: 4,000 milliseconds Retry attempt 5: 8,000 milliseconds
    3. Del mismo modo, modifique estas URL en el valor de los elementos indicados para los servicios:
  5. Inicie el servidor de Spectrum Technology Platform.

Si está ejecutando Spectrum Technology Platform en un clúster, debe modificar el archivo spectrum-container.properties y el archivo spectrum-config-ldap.properties en cada servidor del clúster. Detenga el servidor antes de modificar el archivo y luego inicie el servidor después de que haya terminado los cambios. Si asignó un valor de atributo LDAP a una función, esta asignación se replicará en todos los nodos del clúster, por lo que no necesita repetir el procedimiento de asignación en la consola JMX de Spectrum.