使用 LDAP 进行身份验证

Tenable Identity Exposure 让您可以使用轻型目录访问协议 (LDAP) 进行身份验证。

要启用 LDAP 身份验证,您必须准备以下内容:

  • 预配置的服务帐户,并且其用户名和密码可用于访问 Active Directory。

  • 预配置的 Active Directory 组。

设置 LDAP 身份验证后,LDAP 选项会显示在登录页面的选项卡中。

配置 LDAP 身份验证的步骤:

  1. Tenable Identity Exposure 中,点击“系统”>“配置”。

    此时会出现配置窗格。

  2. 在“身份验证”部分下,点击“LDAP”。

  3. 点击“启用 LDAP 身份验证”,切换至已启用状态。

    此时会出现一个 LDAP 信息表单。

  4. 提供以下信息:

  • 在“用于查询 LDAP 服务器的服务帐户”框中,键入用于访问 LDAP 服务器的标识名 (DN)、SamAccountName 或 UserPrincipalName。

  • 在“服务帐户密码”框中,键入此服务帐户的密码。

  • 在“LDAP 搜索库”框中,键入 Tenable Identity Exposure 用于搜索尝试连接的用户的 LDAP 目录,以“DC=”或“OU=”开头。这可以是根目录或特定的组织单位。

  • 在“LDAP 搜索过滤器”框中,键入 Tenable Identity Exposure 用于过滤用户的属性。Active Directory 中用于身份验证的标准属性为 samaccountname={{login}}登录的值是用户在身份验证期间提供的值。

  1. 对于“启用 SASL 绑定”,执行下列操作之一:

    • 如果您为服务帐户使用 SamAccountName,请点击“启用 SASL 绑定”,切换至已启用状态。

    • 如果使用服务帐户的标识名或 UserPrincipalName,请将“启用 SASL 绑定”保持在已禁用状态。

  1. 在“默认配置文件和角色”部分下,点击“添加 LDAP 组”,以便指定允许身份验证的组。

    此时会出现一个 LDAP 组信息表单。

    • 在“LDAP 组名称”框中,键入组的可分辨名称(例如:CN=TAD_User,OU=Groups,DC=Tenable,DC=ad

    • 在“默认配置文件”下拉框中,为允许的组选择配置文件。

    • 在“默认角色”框中,为允许的组选择角色。

  1. 如有必要,点击 图标,添加新的允许的组。

  2. 单击“保存”。

为 LDAPS 添加自定义受信任证书颁发机构 (CA) 证书的步骤:

  1. Tenable Identity Exposure 中,点击“系统”。

  2. 点击“配置”选项卡以显示配置窗格。

  3. 在“应用程序服务”部分下,点击“受信任的证书颁发机构”。

  4. 在“其他 CA 证书”框中,粘贴要供 Tenable Identity Exposure 使用的您公司的 PEM 编码可信 CA 证书。

  5. 单击“保存”。

有关安全配置文件和角色的更多信息,请参阅: