Integración LDAP/AD

Este capítulo cubre la configuración de Veyon para conectarlo a servidores compatibles con LDAP. En lo sucesivo, se utilizará el término genérico LDAP para referirnos a todos los productos y tecnologías compatibles con LDAP, como OpenLDAP, Samba o Active Directory. La integración de LDAP le permite usar información sobre usuarios, grupos de usuarios, computadoras y ubicaciones que ya existen en la mayoría de los entornos, en lugar de replicarla manualmente en la configuración de Veyon. Una vez configurado, Veyon Master puede recuperar ubicaciones y computadoras que se mostrarán directamente desde el servicio de directorio. Además, los usuarios y grupos de usuarios de LDAP pueden servir como base para el Control de acceso al equipo.

La configuración de la integración de LDAP se realiza en la página de configuración LDAP en Veyon Configurator. La página está dividida en varias subpáginas para Configuración básica, Configuración del entorno, Configuración avanzada y Pruebas de integración.

Configuración básica

La configuración básica afecta a todos los parámetros básicos para acceder a un servidor LDAP. Son obligatorios para una integración LDAP que funcione correctamente.

General

Servidor y puerto LDAP
Introduzca aquí la dirección del servidor LDAP (nombre de host o dirección IP). Si se utiliza un puerto que no sea el puerto LDAP predeterminado 389, el parámetro del puerto debe ajustarse en consecuencia.
Enlace anónimo / Usar credenciales de enlace
Según el entorno y la configuración del servidor LDAP, las consultas LDAP pueden realizarse como un usuario anónimo o solo con nombres de usuario y contraseñas válidos. Si el acceso al servidor requiere un nombre de usuario y contraseña, la opción Usar credenciales de enlace debe seleccionarse y las credenciales deben introducirse en los campos de entrada a continuación. De lo contrario, se puede usar la opción predeterminada Enlace anónimo.
Enlace DN
El DN de enlace es el nombre de usuario utilizado para iniciar sesión en el servidor para realizar operaciones LDAP. Sin embargo, el formato requerido depende en gran medida del servidor LDAP y su configuración. Los formatos posibles incluyen User, DOMAIN\User o cn=User,…,dc=example,dc=org.
Contraseña de enlace
Además del DN de enlace, se debe ingresar la contraseña correspondiente.

Puede usar el botón Comprobar para verificar si el acceso al servidor está funcionando con los parámetros proporcionados.

Consejo

Veyon solo requiere acceso de lectura al directorio LDAP. Como medida de seguridad adicional en el servidor LDAP, se puede crear un usuario dedicado con acceso de solo lectura al directorio LDAP, por ejemplo. «Veyon-LDAP-RO». El acceso a los atributos relevantes se puede restringir aún más para este usuario.

Seguridad de conexión

Veyon puede establecer conexiones cifradas al servidor LDAP. Para este propósito, las configuraciones están disponibles en la sección Seguridad de la conexión.

Protocolo de encriptación

Puede elegir entre los protocolos de cifrado Ninguno, TLS y SSL. Se recomienda el uso del moderno protocolo TLS.

Valor predeterminado: Ninguno

Verificación del certificado TLS

Esta configuración determina cómo se debe verificar el certificado de seguridad del servidor LDAP cuando se establece la conexión cifrada. Con la configuración predeterminada Valores por defecto del sistema, dependiendo del sistema operativo, se intenta verificar el certificado utilizando los certificados raíz instalados en todo el sistema. El almacén de certificados de Windows no se tiene en cuenta aquí, por lo que es posible que deba almacenarse un archivo de certificado de CA independiente. Con la configuración Nunca, el certificado del servidor no se verifica en absoluto. Sin embargo, esto permite ataques de intermediarios y, por lo tanto, solo debe usarse en casos excepcionales. La configuración Archivo de certificado de CA definido por el usuario garantiza que la verificación del certificado se realice sobre la base de un archivo de certificado de CA especificado.

Valor predeterminado: *Valores por defecto del sistema *

Archivo de certificado CA personalizado
Si utiliza su propia autoridad de certificación (CA), puede ser necesario almacenar su certificado en un formato de archivo PEM para que Veyon pueda verificar el certificado del servidor LDAP.

DN base

El DN base define la dirección del objeto raíz en el directorio. Todos los objetos se almacenan debajo del DN base. Por lo general, el DN base proviene del dominio DNS o AD (vea también RFC 2247).

En la mayoría de los casos, se utiliza un DN base fijo, por lo que debe elegirse la opción predeterminada DN base fijo. El DN base se debe introducir luego en el campo de entrada correspondiente o se debe seleccionar desde el servidor usando el botón Buscar. Puede usar el botón Comprobar para verificar si la configuración es correcta y si se pueden encontrar entradas.

Si se va a usar una configuración genérica de Veyon en múltiples sitios con diferentes DN base, Veyon se puede configurar de manera que el DN base siempre se consulte dinámicamente utilizando contextos de nombres LDAP. Para que esto funcione, debe elegirse el Descubrir el DN base mediante el contexto de nombres y debe adaptarse el atributo del contexto de la denominación. Puede usar el botón Comprobar para verificar si se puede determinar un DN base.

Después de importar una configuración genérica de Veyon sin un DN base fijo, también es posible determinar el DN base a través de Interfaz de línea de comandos y escribirlo en la configuración local.

Configuración del entorno

Una vez que se han configurado y comprobado los ajustes básicos, ahora se pueden realizar los ajustes específicos del entorno. Estas configuraciones determinan qué árboles contienen objetos de ciertos tipos, así como los nombres de ciertos atributos de objetos. Con estos parámetros, Veyon puede recuperar toda la información requerida del directorio LDAP.

Árboles de objetos

Los árboles de objetos son unidades organizativas o estructurales en las que se almacenan ciertos tipos de objetos (usuarios, grupos, computadoras). Los respectivos CN (Nombres comunes) u OU (Unidades organizativas) deben ingresarse sin la parte de DN base en el campo de entrada respectivo. Junto a cada campo de entrada hay botones para abrir los cuadros de diálogo de búsqueda y comprobación de la configuración individual.

Árbol de usuarios
El árbol LDAP (sin DN base) en el que se ubican los objetos de usuarios debe ingresarse aquí, por ejemplo, OU=Users o CN=Users.
Árbol de grupos
El árbol LDAP (sin DN base) en el que se ubican los objetos de grupos debe ingresarse aquí, por ejemplo, OU=Groups o CN=Groups.
Árbol de equipos
El árbol LDAP (sin el DN base) en el que se ubican los objetos de equipos debe ingresarse aquí, por ejemplo, OU=Computers o CN=Computers.
Árbol de grupo de equipos
Si los grupos de equipos se encuentran en un árbol diferente al de los grupos de usuarios normales o en un subárbol, el árbol LDAP correspondiente se puede especificar aquí. De lo contrario, el árbol de grupos se utiliza para consultar grupos de equipos y filtrarlos con un objeto filtro específico si es necesario.
Realizar operaciones de búsqueda recursiva en árboles de objetos

Esta opción se puede utilizar para controlar si los objetos deben consultarse de forma recursiva. La búsqueda se realiza no solo en el árbol especificado sino también en cualquier subárbol existente.

Valor predeterminado: deshabilitado

Consejo

Si los objetos de un tipo se almacenan en diferentes árboles de objetos (por ejemplo, los usuarios en CN=Teachers y en CN=Students), el parámetro para el árbol de objetos correspondiente se puede dejar vacío y la opción Realizar operaciones de búsqueda recursiva en árboles de objetos se puede activar. Luego, se realiza una búsqueda recursiva en todo el directorio LDAP a partir del DN base. En este caso, sin embargo, se recomienda encarecidamente establecer filtros de objeto para el tipo de objeto respectivo.

Atributos de objeto

Para que Veyon pueda recuperar la información requerida de los objetos consultados, deben configurarse los nombres de algunos atributos de los objetos, ya que difieren sustancialmente según el entorno y el servidor LDAP. Junto a cada campo de entrada, están disponibles los botones para buscar el atributo de un objeto existente y comprobar el nombre del atributo respectivo.

Atributo de nombre de usuario
Este atributo debe contener el nombre de inicio de sesión de un usuario. El atributo se utiliza para determinar el objeto de usuario LDAP asociado con un nombre de usuario en particular. En un entorno OpenLDAP, a menudo se usa el nombre de atributo uid, mientras que el nombre sAMAccountName es común en Active Directories.
Atributo de miembro del grupo
Los miembros de un grupo se enumeran en objetos de grupo a través de este atributo. El atributo se utiliza para determinar los grupos a los que pertenece un usuario en particular. Dependiendo de la configuración, el atributo usado también mapea computadoras a ubicaciones. En un entorno OpenLDAP, a menudo se usa el nombre de atributo member mientras que el nombre memberUid es común en Active Directories.
Atributo de nombre mostrado de equipo

El contenido de este atributo opcional se usa para determinar el nombre de computadora que se muestra en Veyon Master. Si se deja en blanco, se usa el nombre común (cn).

Valor predeterminado: cn

Atributo de nombre del equipo
Este atributo debe contener el nombre DNS de la computadora. Se utiliza para determinar el objeto de computadora LDAP asociado con un nombre de host de computadora particular. En un entorno OpenLDAP, a menudo se usa el nombre de atributo name, mientras que el nombre dNSHostName es común en Active Directories.
Nombres de host almacenados como nombres de dominio completos (FQDN, p. ej. myhost.example.org)

Esta opción especifica si se debe usar el nombre de dominio completo (FQDN) para asignar nombres de computadora a objetos de computadora LDAP. Si los nombres de las computadoras se almacenan sin la parte del dominio en el directorio LDAP, esta opción debe dejarse deshabilitada, de lo contrario debe ser habilitada.

Valor predeterminado: deshabilitado

Atributo de dirección MAC del equipo
Además del nombre de la computadora, las direcciones MAC de las computadoras se almacenan en el directorio LDAP en algunos entornos, por ejemplo, si el servidor DHCP también accede al directorio LDAP. Si la función de Veyon se va a usar para encender computadoras a través de Wake-on-LAN, el nombre del atributo correspondiente debe introducirse aquí, ya que la dirección MAC es necesaria para esta funcionalidad. Los nombres de atributos típicos son hwAddress o dhcpAddress.

Consejo

En un Active Directory estándar no hay ningún atributo que almacene direcciones MAC. Por lo tanto, debe completar las direcciones MAC manualmente en un atributo existente no utilizado como wwwHomepage o extender el esquema AD. Además, puede otorgar acceso de escritura de grupo de computadoras a SELF y usar un script de PowerShell para hacer que cada computadora almacene automáticamente la dirección MAC de su primer adaptador de LAN físico cuando se inicia.

Atributo de ubicación del equipo
Si el esquema LDAP para objetos de computadora proporciona un atributo especial para la asignación a una ubicación, este nombre de atributo se puede introducir aquí. El botón Comprobar se puede usar para verificar si las computadoras en una ubicación se pueden consultar correctamente usando el atributo configurado. En la configuración avanzada, puede especificar en la sección Ubicaciones de equipos que se usa el atributo de ubicación de la computadora.
Atributo de nombre de ubicación
Al identificar ubicaciones de computadoras a través de grupos de computadoras o contenedores de computadoras, el valor de un determinado atributo puede mostrarse como el nombre de la ubicación en lugar de los Common Names de estos grupos u objetos. Si, por ejemplo, los grupos de computadoras tienen un atributo llamado name o description, un nombre de ubicación significativo se puede almacenar en este atributo y el nombre del atributo se puede introducir aquí.

Configuración avanzada

Con la configuración avanzada, la integración de LDAP y el uso de la información del directorio de LDAP se pueden personalizar según las necesidades individuales.

Filtros de objeto opcionales

Con los filtros LDAP, los objetos LDAP utilizados por Veyon pueden reducirse si, por ejemplo, los objetos de computadora tales como las impresoras no se muestran en Veyon Master. Junto a cada campo de entrada hay un botón para comprobar el respectivo filtro de objeto.

A partir de Veyon 4.1, los filtros opcionales siguen el conocido esquema para los filtros LDAP (vea, por ejemplo, RFC 2254 o Active Directory: LDAP Syntax Filters) como (objectClass=XYZ).

Filtro para usuarios
Puede definir un filtro LDAP para los usuarios aquí, por ejemplo, (objectClass=person) o (&(objectClass=person)(objectClass=veyonUser)).
Filtro para grupos de usuarios
Puede definir un filtro LDAP para grupos de usuarios aquí, por ejemplo, (objectClass=group) or (|(cn=teachers)(cn=students)(cn=admins)).
Filtro para equipos
Puede definir un filtro LDAP para computadoras aquí, por ejemplo, (objectClass=computer) or (&(!(cn=printer*))(!(cn=scanner*))).
Filtro para grupos de ordenadores
Puede definir un filtro LDAP para grupos de computadoras aquí, por ejemplo, (objectClass=room) or (cn=Room*). Si los grupos de computadoras se utilizan como ubicaciones, puede filtrar las ubicaciones mostradas de esta manera.
Filtro para contenedores de ordenadores
Puede definir un filtro LDAP para los contenedores de computadoras aquí, por ejemplo, (objectClass=container) o (objectClass=organizationalUnit). Si los contenedores/OUs se utilizan como ubicaciones, puede filtrar las ubicaciones mostradas de esta manera.

Opciones de consulta

Consultar grupos de usuarios anidados (compatible solo con AD)
Si tiene grupos de usuarios anidados (actualmente solo es compatible con Active Directory), puede habilitar esta opción para hacer que Veyon consulte todos los grupos (incluso indirectos) de un usuario. Cuando está habilitada, puede, por ejemplo, crear un grupo Usuarios de Veyon con los grupos de usuarios existentes Profesores y Personal TIC como miembros. El grupo Usuarios de Veyon se puede utilizar para propósitos de Control de acceso.

Identificación del miembro del grupo

El contenido de los atributos de pertenencia a grupos varía según las diferentes implementaciones de LDAP. Mientras que en Active Directory el nombre distinguido (DN) de un objeto se almacena en el atributo miembro, OpenLDAP generalmente almacena el nombre de inicio de sesión del usuario (uid o similar) o el nombre de la computadora. Para que Veyon use el valor correcto para consultar grupos de un usuario o computadora, se debe elegir la configuración apropiada aquí.

Nombre distinguido (Samba/AD)
Esta opción debe elegirse si el nombre distinguido (DN) de un objeto se almacena en un atributo miembro del grupo. Por lo general, Samba y el servidor AD usan este esquema.
Atributo configurado para el nombre de inicio de sesión del usuario o el nombre de host de la computadora (OpenLDAP)
Esta opción debe elegirse si el nombre de inicio de sesión de un usuario (nombre de usuario) o el nombre de host de una computadora se almacena en los atributos de miembro de un grupo. Usualmente el servidor OpenLDAP usa este esquema.

Ubicaciones de equipos

Veyon ofrece varios métodos para representar ubicaciones de computadoras en un directorio LDAP. En el caso simple, hay un grupo de computadoras para cada ubicación (por ejemplo, sala). Todas las computadoras en una ubicación específica son miembros del grupo correspondiente. Si, en cambio, las computadoras están organizadas en contenedores o unidades organizativas (OU), estos objetos principales se pueden usar como ubicaciones. Ambos procedimientos no requieren ninguna adaptación del esquema LDAP. Como una tercera posibilidad, el nombre de la ubicación también se puede almacenar como un atributo especial en cada objeto de la computadora.

Grupos de equipos

Esta opción especifica que las ubicaciones de las computadoras se identifican a través de grupos de computadoras. Todos los grupos de computadoras se muestran como ubicaciones en Veyon Master. Para cada ubicación se muestran todas las computadoras que son miembros del grupo correspondiente. Si no se muestran todos los grupos LDAP como ubicaciones, debe configurarse un árbol dedicado árbol de grupo de computadoras o los grupos de computadoras deben ser restringidos usando un ref:filtro de grupo de computadoras <LDAPComputerGroupsFilter>.

Valor predeterminado: habilitado

Contenedores de computadoras u OUs

Esta opción especifica que los contenedores/OUs que contienen objetos de computadora se utilizan como ubicaciones de computadora. Los contenedores son objetos que son padres a objetos de computadora en el árbol LDAP. Si no se muestran todos los contenedores como ubicaciones, se puede configurar un filtro de contenedor de computadoras correspondiente.

Valor predeterminado: deshabilitado

Atributo de ubicación en objetos de equipo

Si el esquema LDAP para objetos de computadora proporciona un atributo especial para asignar objetos de computadora a ubicaciones, esta opción se puede habilitar y se puede introducir el nombre del atributo. El botón Comprobar se puede usar para verificar si los miembros de una ubicación de computadora se pueden consultar correctamente usando el atributo configurado.

Valor predeterminado: deshabilitado

Pruebas de integración

Las pruebas de integración se pueden utilizar para verificar la integración de LDAP como un todo. Los botones permiten realizar varias pruebas. Todas las pruebas deben tener éxito y proporcionar resultados válidos antes de que se utilice la conexión LDAP en la producción.

Usando backends LDAP

Con la configuración y las pruebas exitosas de la integración de LDAP, ahora se pueden activar los backends de LDAP. Para esto, el directorio de objeto de red y el backend de grupos de usuarios para el control de acceso al equipo deben ser adaptados. Solo después de cambiar el directorio de objetos de red a LDAP, la ubicación y la información de la computadora del directorio de LDAP se utilizan en Veyon Master.

Atención

Después de cambiar el backend para el control de acceso al equipo, todas las reglas de acceso configuradas previamente deben ser revisadas, ya que la información de grupo y ubicación cambia y en la mayoría de los casos las reglas de acceso ya no serán válidas o no se procesarán correctamente.

Interfaz de línea de comandos

La Interfaz de línea de comandos de Veyon permite algunas operaciones específicas de LDAP. Todas las operaciones están disponibles usando el módulo ldap. Una lista de todos los comandos admitidos se muestra a través de veyon-cli ldap help, mientras que los textos de ayuda específicos de los comandos se pueden mostrar a través de veyon-cli ldap help <command>.

autoconfigurebasedn

Este comando se puede usar para determinar automáticamente el DN base usado y escribirlo permanentemente en la configuración. Una URL de servidor LDAP y, opcionalmente, un atributo de contexto de denominación deben proporcionarse como parámetros:

veyon-cli ldap autoconfigurebasedn ldap://192.168.1.2/ namingContexts
veyon-cli ldap autoconfigurebasedn ldap://Administrator:MYPASSWORD@192.168.1.2:389/

Consejo

Los caracteres especiales como @ o : - especialmente en la contraseña - pueden especificarse usando la codificación porciento de URL .

query

Este comando permite consultar objetos LDAP (locations, computers, groups, users) y se utiliza principalmente para pruebas. La función también se puede utilizar para desarrollar scripts para tareas de integración del sistema.

veyon-cli ldap query users
veyon-cli ldap query computers