Integration mit LDAP-Servern

LDAP-Übersicht

Das Lightweight Directory Access Protocol (LDAP) ist ein plattformübergreifendes Standardprotokoll für die Client-Server-Kommunikation zur Interaktion mit Verzeichnisdiensten wie Active Directory (AD) über ein IP (Internet Protocol)-Netzwerk. Die Tanium Core Platform unterstützt LDAP für die Authentifizierung von Benutzern und für den Import von Benutzern und Benutzergruppen. Sie können den Tanium Server so konfigurieren, dass er eine Verbindung zu mehreren LDAP-Servern aufbaut.

Der Tanium Server synchronisiert sich automatisch alle fünf Minuten mit jedem LDAP-Server, und Sie können die Synchronisierung jederzeit manuell durchführen. Die Synchronisierung aktualisiert den Tanium Server mit allen Änderungen, die auf dem LDAP-Server stattgefunden haben, einschließlich: neue, aktualisierte, deaktivierte oder gelöschte Benutzer; neue, aktualisierte oder gelöschte Benutzergruppen; und Änderungen an Benutzergruppen-Mitgliedschaften. Sie legen in jeder LDAP-Serverkonfiguration fest, ob die synchronisierten Benutzer über den LDAP-Server authentifiziert werden sollen. Andernfalls wendet der Tanium Server die andere Authentifizierungsmethode an, die Sie konfiguriert haben (siehe Benutzerauthentifizierung).

Konfigurieren Sie die Integration mit LDAP-Servern, bevor Sie andere RBAC-Konfigurationsaufgaben ausführen.

Sie benötigen die reservierte Administratorrolle, um die Seite Configuration (Konfiguration) > Authentication (Authentifizierung) > LDAP / AD Sync Configuration (LDAP/AD-Synchronisierungskonfiguration) anzuzeigen und zu verwenden.

Abbildung 1 veranschaulicht die LDAP-Synchronisierung und -Authentifizierung für die folgende Beispiel-Bereitstellung:

  • Der Tanium Server ist auf einer Tanium Appliance installiert und verwendet eine Secure LDAP (LDAPS)-Verschlüsselung für Verbindungen zu LDAP-Servern.

    Die verfügbaren Verschlüsselungsoptionen hängen von den Betriebssystemen der Tanium Server und LDAP-Server ab.

  • Alle LDAP-Konfigurationen geben an, dass die LDAP-Server die importierten Benutzer authentifizieren werden.
  • Ein Konto (Tanium_Admin) mit der reservierten Administratorrolle wird nicht von einem LDAP-Server importiert, und die Tanium Appliance verwendet für diesen Benutzer ihren lokalen Authentifizierungsdienst. Diese Konfiguration gewährleistet, dass mindestens ein Benutzer auf die Tanium Console zugreifen kann, selbst wenn die LDAP-Verbindungen ausfallen.
Abbildung 1:  LDAP-Synchronisierung und -Authentifizierung

Die folgenden Schritte (entsprechend den Zahlen in Abbildung 1) fassen den LDAP-Synchronisierungsprozess für diese Beispiel-Bereitstellung zusammen.

A1 Jede LDAP-Serverkonfiguration identifiziert, welche Benutzer und Benutzergruppen über welchen LDAP-Server synchronisiert werden. Konfigurationsdetails finden Sie unter Benutzer und Benutzergruppen filtern und Einen LDAP-Server konfigurieren.
2 Der Tanium Server baut Verbindungen zu den LDAP-Servern auf, um den anfänglichen Import von Benutzern und Benutzergruppen durchzuführen und um regelmäßig nach Aktualisierungen zu suchen. Alle LDAP-Serverkonfigurationen geben in diesem Beispiel die LDAPS-Verschlüsselung an, sodass der Tanium Server eine Verbindung zu Port 636 auf den LDAP-Servern aufbaut.

Die folgenden Schritte (entsprechend den Buchstaben in Abbildung 1) fassen den LDAP-Authentifizierungsprozess für diese Beispiel-Bereitstellung zusammen.

A Ein synchronisierter Benutzer gibt eine Domäne (falls erforderlich), einen Benutzernamen und ein Passwort ein, um sich bei der Tanium Console anzumelden.

B Der Tanium Server verwendet den angegebenen Benutzernamen, um den entsprechenden externen Identifizierer (z. B. objectGUID) in der Tanium-Datenbank zu finden. (In der LDAP-Serverkonfiguration gibt User Unique ID Property (Einzigartige Benutzer-ID-Eigenschaft) diesen Identifizierer an).

C Der Tanium Server verwendet den externen Identifizierer, um vom LDAP-Server den passenden eindeutigen Namen (Distinguished Name, DN) des Benutzers abzufragen, z. B. cn=jdoe,ou=noc,dc=acme,dc=com. (Die Abfrage basiert auf denselben Einstellungen, die auch für die Synchronisierung verwendet werden: siehe Benutzer und Benutzergruppen filtern und Einen LDAP-Server konfigurieren.) Der LDAP-Server authentifiziert dann den Benutzer basierend auf dem DN und Anmeldepasswort. Nachdem der LDAP-Server eine Erfolgsmeldung für die Authentifizierung zurückgegeben hat, gewährt der Tanium Server dem Benutzer Zugriff auf die Tanium Console.

D Wenn ein lokal konfigurierter Benutzer (Tanium_Admin) Zugangsdaten eingibt, verwendet der Tanium Server den lokalen Authentifizierungsdienst, um den Benutzer zu authentifizieren, und gewährt dann den Zugriff auf die Tanium Console.

Benutzer und Benutzergruppen filtern

Bevor Sie LDAP-Serververbindungen konfigurieren, müssen Sie die Interaktionen zwischen den folgenden Einstellungen verstehen, die der Tanium Server verwendet, um Benutzer und Benutzergruppen zu filtern, die er synchronisiert. Da es beispielsweise ein bewährtes Verfahren ist, die rollenbasierte Zugriffskontrolle (RBAC) für Tanium-Benutzer basierend auf Gruppenberechtigungen statt Benutzerberechtigungen zu konfigurieren, könnten Sie Benutzer ausschließen wollen, die keiner Gruppe zugewiesen sind. Abbildung 2 und Abbildung 3 veranschaulichen ein Beispiel für die Schritte, die Server in diesem Anwendungsfall ausführen, mit separaten Arbeitsabläufen für das Filtern von Benutzern auf den LDAP-Servern und dem Tanium Server.

  • Gruppenbasis: Wenn der Tanium Server eine Synchronisierungsanfrage sendet (Schritt 1 in beiden Abbildungen), sucht der LDAP-Server nur nach Benutzergruppen, die sich unter diesem Basis-DN befinden, wie z. B. cn=adm,ou=tanium,dc=acme,dc=com.
  • Gruppenfilter: Der LDAP-Server verwendet dieses Feld, um die Benutzergruppen in der Group Base (Gruppenbasis) zu filtern. In diesem Beispiel gibt der LDAP-Server nur dann Gruppen zurück, wenn sein Attribut objectClass auf group eingestellt ist (Schritt 2 in beiden Abbildungen). Der Tanium Server synchronisiert dann diese Gruppen (Schritt 3 in beiden Abbildungen).
  • Benutzerbasis: Der LDAP-Server sucht nur nach Benutzern, die sich unter diesem Basis-DN befinden, z. B. cn=adm,ou=tanium,dc=acme,dc=com.
  • Benutzerfilter: Der LDAP-Server verwendet dieses Feld, um die Benutzer in der Users Base (Benutzerbasis) zu filtern. In diesem Beispiel gibt der LDAP-Server nur dann Benutzer zurück, wenn sein Attribut objectClass auf user (Benutzer) eingestellt ist (Schritt 4 in beiden Abbildungen).
  • Benutzer filtern: Wenn Sie Benutzer ausschließen möchten, die keinen Benutzergruppen zugewiesen sind, die mit dem Tanium Server synchronisiert werden, wählen Sie eine oder beide der folgenden Optionen aus:
    • Filter on LDAP Server (Auf LDAP-Server filtern) (Abbildung 2): Der LDAP-Server gibt nur Benutzer zurück, wenn der (DN)-Wert in ihrem User’s Group Membership Attribute (Gruppenmitgliedschaftsattribut des Benutzers) (in diesem Beispiel das Attribut memberOf) mit einer der Gruppen aus der Gruppensuche übereinstimmt (Schritt 4). Die Auswahl dieser Option ist ein bewährtes Verfahren, da das Filtern auf dem LDAP-Server schneller ist und zu weniger Netzwerkverkehr führt als das Filtern auf dem Tanium Server. Die meisten LDAP-Server unterstützen diese Option. Nach Erhalt der gefilterten Benutzer synchronisiert der Tanium Server sie (Schritt 5).
    • Filter on Tanium Server (Auf Tanium Server filtern) (Abbildung 3): Der LDAP-Server gibt alle Benutzer an den Tanium Server zurück, wenn sie mit dem Users Filter (Benutzerfilter) übereinstimmen (Schritt 4); der LDAP-Server filtert nicht nach User’s Group Membership Attribute (Gruppenmitgliedschaftsattribut des Benutzers). Der Tanium Server verwirft dann alle Benutzer (Schritt 5), wenn keine der synchronisierten Benutzergruppen den Benutzer-DN in ihrem Group Membership Attribute (Gruppenmitgliedschaftsattribut) besitzen (in diesem Beispiel das Attribut member). Diese Option dient als Sicherheitsoption in Fällen, in denen der LDAP-Server das Filtern nach dem User’s Group Membership Attribute (Gruppenmitgliedschaftsattribut des Benutzers) nicht unterstützt.

    Nach der Konsolidierung aller Duplikate in den synchronisierten Benutzern und Gruppen aktualisiert der Tanium Server die Tanium-Datenbank (Schritt 6 in beiden Abbildungen).

Die folgende Abbildung veranschaulicht das Filtern von Benutzern auf LDAP-Servern.

Abbildung 2:  Auf LDAP-Servern filtern

Die folgende Abbildung veranschaulicht das Filtern von Benutzern auf dem Tanium Server.

Abbildung 3:  LDAP-Benutzer- und -Gruppenfilterung

Bevor Sie beginnen

  • Für die Synchronisierung baut der Tanium Server eine Verbindung mit dem LDAP-Server auf. Der Standardport für LDAP ist 389 (3268 für einen globalen AD-Katalog). Der Standardport für LDAPS ist 636 (3269 für einen globalen AD-Katalog). In der LDAP-Serverkonfiguration können Sie angeben, auf welchem Port Ihr LDAP-Server auf seinen eingehenden LDAP-Datenverkehr lauscht. Ihr Netzwerkadministrator muss die Netzwerksicherheit so konfigurieren, dass dieser Datenverkehr erlaubt ist.
  • Sie müssen den eindeutigen Basisnamen (Distinguished Name, DN), die IDs und die Filterausdrücke für die Benutzer und Benutzergruppen kennen, die Sie importieren möchten. Die Werte unterscheiden zwischen Groß- und Kleinschreibung.
  • Der LDAP -Server muss Abfragen mit den konfigurierten Filterausdrücken erlauben.
  • Überprüfen Sie die Beste Praktiken für die Integration mit einem LDAP-Server.

Einen LDAP-Server konfigurieren

  1. Gehen Sie zu Configuration (Konfiguration) > Authentication (Authentifizierung) > LDAP / AD Sync (LDAP/AD-Synchronisierung).
  2. Klicken Sie auf Add Server (Server hinzufügen), um eine neue LDAP-Serververbindung zu erstellen, oder klicken Sie auf Edit (Bearbeiten) in der Kachel für eine bestehende Verbindung, um ihre Einstellungen zu ändern.
  3. Konfigurieren Sie die Einstellungen unter Verwendung der Anleitung in Tabelle 1.
  4. Klicken Sie auf Show Preview to Continue (Vorschau anzeigen, um fortzufahren) und überprüfen Sie die zu importierenden Benutzer und Gruppen.
  5. Speichern Sie die Konfiguration.
Tabelle 1:   LDAP-Serverkonfiguration
Settings Richtlinien
Configuration Enable (Aktivieren) oder Disable (Deaktivieren) Sie die LDAP-Serverkonfiguration. Nachdem Sie die Konfiguration aktiviert haben, haben Sie die Option, mithilfe von Pause die Synchronisierung anzuhalten, ohne die Konfiguration vollständig zu deaktivieren (die Authentifizierung läuft weiter), und dann die Synchronisierung später fortzusetzen. Die Synchronisierung wird für aktivierte Konfigurationen alle fünf Minuten durchgeführt.

Deaktivieren Sie am besten niemals die Konfiguration. Wenn Sie dies doch tun, sperrt der Tanium Server bei der nächsten Synchronisierung die zuvor importierten Benutzer und Benutzergruppen und löscht sie. Wenn Sie die Konfiguration anschließend erneut aktivieren, entsperrt der Tanium Server die Benutzer und fügt die Benutzergruppen erneut hinzu. Für die erneut hinzugefügten Gruppen sind keine RBAC- oder Computer-Verwaltungsrechte konfiguriert. Beachten Sie auch, dass die neu hinzugefügten Gruppen neue Tanium-IDs haben, aber die gleichen LDAP-objectGUIDs wie die gelöschten Gruppen verwenden.

"name": Geben Sie einen Namen ein, der diesen LDAP-Server identifiziert.
Host Vollständig qualifizierter Domänenname (Fully-Qualified Domain, FQDN) oder IP-Adresse des LDAP-Servers. Wenn Sie über LDAPS verbinden, muss der Wert für Host mit dem Hostwert im LDAP-Serverzertifikat übereinstimmen. Sie müssen IPv6-Adressen innerhalb der eckigen Klammern eingeben (z. B. [2001:db8::1]).
Port Geben Sie die Nummer des Ports an, an dem Ihr LDAP-Server auf seinen eingehenden LDAP-Datenverkehr lauscht. Der Standardanschluss hängt vom Protokoll ab:
  • LDAP: Der Standardport ist 389 (3268 für einen globalen AD-Katalog). Der LDAP-Server verwendet diesen Port für unverschlüsselte Verbindungen, Verbindungen, die StartTLS verwenden, und für AD-Verbindungen, welche die Option Sign and encrypt (Signieren und verschlüsseln) verwenden.
  • LDAPS: Der Standardport ist 636 (3269 für einen globalen AD-Katalog).
Zuweisungen Wählen Sie diese Option, um Zuweisungen zu deaktivieren. Wenn es sich bei dem LDAP -Server um einen Microsoft-AD-Server handelt, ist die Deaktivierung von Weiterleitungen obligatorisch.
Verschlüsselung Wählen Sie eine der folgenden Optionen aus:
  • Keine. Nicht in der Produktion verwenden.
  • Signieren und verschlüsseln. Der LDAP-Anschluss schaltet die Optionen LDAP_OPT_SIGN und LDAP_OPT_ENCRYPT ein. Die Sitzung wird verschlüsselt, aber sie verwendet keine TLS. Verwenden Sie diese Option nur für Tanium Server auf Windows und der externe LDAP-Server ist ein AD-Server.
  • StartTLS. Der LDAP-Anschluss ruft ldap_start_tls_s auf, um eine TLS-Verbindung einzurichten. Sie können diese Option mit dem Tanium Server auf Windows oder der Tanium Appliance verwenden.
  • LDAPS. Der LDAP-Anschluss initiiert ein SSL-Verbindung zum LDAPS-Server.
NTLM Verwendet Microsoft NT LAN Manager (NTLM) für die Verbindung mit dem LDAP-Server. Diese Option ist standardmäßig aktiviert. Die Verwendung von NTLM ist ein bewährtes Verfahren, wenn der Tanium Server auf einem Windows-Server installiert ist und die Verbindung zu einem AD-Server stattfindet. Wenn Sie NTLM verwenden, wird das Dienstkonto von Tanium Server verwendet und Sie müssen unter LDAP User Name (LDAP-Benutzername) und LDAP Password (LDAP-Passwort) nichts eingeben. Der LDAP -Server muss diesem Konto die Abfrage mit den konfigurierten Filterausdrücken erlauben.
LDAP-Benutzername / Passwort Wenn Sie NTLM nicht verwenden können, geben Sie den Benutzernamen und das Passwort des Dienstkontos an, das der Tanium Server verwendet, um den LDAP-Server abzufragen. Als bewährtes Verfahren können Sie ein spezielles Konto für diesen Zweck mit Berechtigungen bereitstellen, die niedrig, aber ausreichend sind, um den LDAP-Server abzufragen.
Gruppenbasis Dies ist der Basis-DN für den Benutzergruppen-Container. Der Tanium Server synchronisiert Gruppen aus allen Standorten, die diesem Pfad untergeordnet sind.

Beispiel: cn=Ops,ou=TaniumAdmins,dc=tam,dc=local

Hinweis: Wenn die Einstellung der Group Base (Gruppenbasis) oder Users Base (Benutzerbasis) auf den Stammordner einer Domain Fehler erzeugt, wählen Sie Disable referrals (Weiterleitungen deaktivieren) im Abschnitt General (Allgemeines) aus.

Gruppenfilter Der LDAP-Server verwendet dieses Feld, um die Benutzergruppen in der Group Base (Gruppenbasis) zu filtern. Wenn Sie zum Beispiel objectClass=group eingeben, gibt der LDAP-Server nur dann Gruppen zurück, wenn ihr Attribut objectClass auf group eingestellt ist.

Hinweis: Verwenden Sie den Backslash (\), um Sonderzeichen in einem Gruppennamen zu escapen. Für Windows verwenden Sie einen Backslash (Beispiel: name=\#myGroup). Für die Appliance (Linux) verwenden Sie zwei Backslashes (Beispiel: name=\\#myGroup).

Eindeutige ID-Eigenschaft der Gruppe Geben Sie das Attribut ein (z. B. objectGUID), das jede Benutzergruppe eindeutig identifiziert.

Hinweis: Der Wert unterscheidet zwischen Groß- und Kleinschreibung.

Eigenschaft des Gruppennamens Geben Sie das Attribut ein (z. B. cn), das den Namen einer Benutzergruppe identifiziert.

Hinweis: Der Wert unterscheidet zwischen Groß- und Kleinschreibung.

Mitgliedschaftsattribut der Gruppe Geben Sie das Attribut der Benutzergruppe ein (z. B. member), das angibt, welche Benutzer Mitglieder sind.

Hinweis: Der Wert unterscheidet zwischen Groß- und Kleinschreibung.

Filterbenutzer Wenn Sie Benutzer ausschließen möchten, die keinen Benutzergruppen zugewiesen sind, die mit dem Tanium Server synchronisiert werden, wählen Sie eine oder beide der folgenden Optionen aus:
  • Auf LDAP-Server filtern. Geben Sie ein Attribut im Textfeld User's Group Membership Attribute (Gruppenmitgliedschaftsattribut des Benutzers) an. Das häufigste LDAP-Attribut ist memberOf. Sie müssen einen Attributnamen eingeben, keinen Ausdruck. Der LDAP-Server gibt Benutzer nur dann zurück, wenn ihr Wert (DN) für dieses Attribut mit einer der Gruppen aus der Gruppensuche übereinstimmt. Die Auswahl dieser Option ist ein bewährtes Verfahren, da das Filtern auf dem LDAP-Server schneller ist und zu weniger Netzwerkverkehr führt als das Filtern auf dem Tanium Server. Die meisten LDAP-Server unterstützen diese Option.
  • Filter on Tanium Server. Der LDAP-Server gibt alle Benutzer an den Tanium Server zurück, wenn sie mit dem Users Filter (Benutzerfilter) übereinstimmen; der LDAP-Server filtert nicht nach User’s Group Membership Attribute (Gruppenmitgliedschaftsattribut des Benutzers). Der Tanium Server verwirft dann alle Benutzer, wenn keine der synchronisierten Benutzergruppen den Benutzer-DN in ihrem Group Membership Attribute (Gruppenmitgliedschaftsattribut) besitzen. Diese Option dient als Sicherheitsoption in Fällen, in denen der LDAP-Server das Filtern nach dem User’s Group Membership Attribute (Gruppenmitgliedschaftsattribut des Benutzers) nicht unterstützt.
Benutzerdomain Geben Sie die Domain ein, die der Tanium Server verwendet, um Benutzer in der Tanium-Datenbank abzugleichen. Geben Sie einen NetBIOS-Namen an, der mit Benutzern übereinstimmt, die sich im Format <domain>\<username> anmelden (z. B. example-corp\user1), oder geben Sie einen Namen im Format <domain>.<top-level_domain> an, der mit Benutzern übereinstimmt, die sich im Format <username>@<domain.top-level_domain> anmelden (z. B. [email protected]). Beide Domänenformate stimmen mit Benutzern überein, die sich nur mit ihrem Benutzernamen anmelden.
Gruppenmitglieder einzeln synchronisieren Standardmäßig sucht der LDAP-Server nach Benutzern, die basierend auf dem Wert Users Base (Benutzerbasis) synchronisiert werden sollen. Wenn Ihre LDAP-Implementierung jedoch keine Basis-Benutzergruppe umfasst, die alle Benutzer enthält, wählen Sie Sync group members individually (Gruppenmitglieder einzeln synchronisieren) aus, um die Suche auf Grundlage von Users Base (Benutzerbasis) zu überspringen. Stattdessen steuert diese Option den LDAP-Server direkt, um basierend auf dem Group Membership Attribute (Gruppenmitgliedschaftsattribut) nach dem DN jedes Benutzergruppenmitglieds zu suchen. Die Benutzer müssen jedoch weiterhin mit dem Wert des Users Filter (Benutzerfilter) übereinstimmen, der Gruppenmitglieder ausschließen kann, die Computer oder andere Gruppen sind.

Verglichen mit einer Suche auf Grundlage von Users Base (Benutzerbasis) benötigt eine Suche auf Grundlage von Group Membership Attribute (Gruppenmitgliedschaftsattribut) mehr Rechenressourcen und kann deutlich länger dauern, wenn Sie viele Benutzer haben.

Benutzerbasis Dies ist der Basis-DN für den Benutzer-Container. Der Tanium Server synchronisiert Benutzer aus allen Standorten, die diesem Pfad untergeordnet sind.

Beispiel: cn=Users,dc=tam,dc=local

Hinweis: Wenn die Einstellung der Group Base (Gruppenbasis) oder Users Base (Benutzerbasis) auf den Stammordner einer Domain Fehler erzeugt, wählen Sie Disable referrals (Weiterleitungen deaktivieren) im Abschnitt General (Allgemeines) aus.

Benutzerfilter Der LDAP-Server verwendet dieses Feld, um die Benutzer in der Users Base (Benutzerbasis) zu filtern. Wenn Sie zum Beispiel objectClass=user eingeben, gibt der LDAP-Server nur dann Benutzer zurück, wenn ihr Attribut objectClass auf user (Benutzer) eingestellt ist.

Um ein Konto von der Synchronisierung auszuschließen, verwenden Sie den folgenden Filter, wobei <account_name> der Benutzername ist:

((&(objectClass=user)(!sAMAccountName=<account_name>)))

Hinweis: Wenn Sie einen LDAP-Server für den lokalen Authentifizierungsdienst eines Tanium Servers hinzufügen, der auf einer Tanium Appliance läuft, müssen Sie den folgenden Benutzerfilter verwenden:

(&(objectClass=person)(uidNumber>= 20000))

Eigenschaft der eindeutigen ID des Benutzers Geben Sie das Attribut ein (z. B. objectGUID), das jeden Benutzer eindeutig identifiziert.

Hinweis: Der Wert unterscheidet zwischen Groß- und Kleinschreibung.

Eigenschaft des Benutzernamens Geben Sie das Attribut ein (z. B. cn oder sAMAccountName), das den Namen eines Benutzers identifiziert. Der Wert, den der Tanium Server für dieses Feld importiert, wird zum Benutzernamen, den Benutzer eingeben, um sich in der Tanium Console anzumelden. Geben Sie das Attribut an, das für diesen Zweck geeignet ist, und stellen Sie sicher, dass Ihre Benutzer über das erwartete Formular informiert werden.

Hinweis: Der Wert unterscheidet zwischen Groß- und Kleinschreibung.

Eigenschaft des Benutzeranzeigenamens Geben Sie das Attribut ein, das den Anzeigenamen für Benutzer identifiziert (typischerweise displayName).
Authentication Wählen Sie Use LDAP for user authentication (LDAP für Benutzerauthentifizierung verwenden), um den konfigurierten Server als Authentifizierungsquelle zu verwenden. Andernfalls verwendet der Tanium Server den LDAP-Server nur zur Synchronisierung von Benutzern und Gruppen und verwendet für die Authentifizierung die Methode, die Sie konfiguriert haben (siehe Benutzerauthentifizierung).

Einen LDAP-Server klonen

Das Klonen einer LDAP-Serverkonfiguration ermöglicht es Ihnen, schnell Verbindungen für mehrere Domains hinzuzufügen.

  1. Gehen Sie zu Configuration (Konfiguration) > Authentication (Authentifizierung) > LDAP / AD Sync (LDAP/AD-Synchronisierung).
  2. Klicken Sie auf Clone (Klonen) in dem Panel, das den Namen des LDAP-Servers trägt, den Sie klonen möchten.
  3. Klicken Sie auf Edit (Bearbeiten) Editim Panel für die geklonte Konfiguration.
  4. Bearbeiten Sie nach Bedarf die Einstellungen [z. B. User Domain (Benutzerdomäne)] unter Verwendung der Anleitungen in Tabelle 1.
  5. Klicken Sie auf Show Preview to Continue (Vorschau anzeigen, um fortzufahren) und überprüfen Sie die zu importierenden Benutzer und Gruppen.
  6. Speichern Sie die Konfiguration.

Manuell mit einem LDAP-Server synchronisieren

Der Tanium Server synchronisiert sich automatisch alle fünf Minuten mit LDAP-Servern. Damit die Tanium Console Änderungen, die auf LDAP -Servern vorgenommen werden (z. B. Aktualisierungen der Benutzergruppenmitgliedschaft), sofort anzeigt, können Sie wie folgt eine manuelle Synchronisierung vornehmen:

  1. Gehen Sie zu Configuration (Konfiguration) > Authentication (Authentifizierung) > LDAP / AD Sync (LDAP/AD-Synchronisierung).
  2. Klicken Sie auf Sync Now (Jetzt synchronisieren).

Einen LDAP-Server pausieren oder fortsetzen

Wenn Sie einen LDAP-Server aktualisieren oder unerwartete Synchronisationsergebnisse untersuchen, können Sie die Synchronisierung für einen bestimmten LDAP-Server unterbrechen, ohne seine Konfiguration vollständig zu deaktivieren (die Authentifizierung funktioniert weiterhin). Nachdem Sie die Aktualisierung oder Fehlerbehebung abgeschlossen haben, können Sie die Synchronisierung fortsetzen.

  1. Gehen Sie zu Configuration (Konfiguration) > Authentication (Authentifizierung) > LDAP / AD Sync (LDAP/AD-Synchronisierung).
  2. Klicken Sie auf Edit (Bearbeiten) im Panel für den LDAP-Server.
  3. Aktivieren Sie das Kontrollkästchen Pause, um die LDAP-Synchronisierung zu pausieren, oder deaktivieren Sie das Kontrollkästchen, um die Synchronisierung fortzusetzen.
  4. Speichern Sie Ihre Änderungen.

Einen LDAP-Server löschen

Wenn Sie eine LDAP-Serverkonfiguration löschen, stoppt der Tanium Server die Aktualisierung der Benutzer und Benutzergruppen, die er zuvor von diesem LDAP-Server importiert hat. Wenn der Tanium Server das nächste Mal die Synchronisierung für die verbleibenden LDAP-Server durchführt, entfernt er die Benutzer und Gruppen, die mit der gelöschten Konfiguration verbunden sind. Löschen Sie die Konfiguration wie folgt, wenn Sie nicht mehr möchten, dass diese Informationen im Tanium Server gespeichert werden:

  1. Gehen Sie zu Configuration (Konfiguration) > Authentication (Authentifizierung) > LDAP / AD Sync (LDAP/AD-Synchronisierung).
  2. Klicken Sie auf Delete (Löschen) im Panel für die LDAP-Serverkonfiguration.

Die Deaktivierung einer LDAP -Serverkonfiguration hat dieselbe Wirkung wie ihre Löschung. Einzelheiten zum Deaktivieren einer Konfiguration finden Sie unter Configuration.

LDAP-Serverkonfiguration importieren oder exportieren

Sie können die LDAP -Serverkonfiguration in eine JSON-Datei exportieren und eine signierte JSON- oder XML-Datei in denselben oder einen anderen Tanium Server importieren. Sie können dies beispielsweise tun, um die Verbindungsinformationen bei der Fehlerbehebung der LDAP-Abfrage mit Ihrem LDAP-Administrator zu teilen.

Export

  1. Klicken Sie auf jeder Seite unter Content (Inhalt) oder Permissions (Berechtigungen) auf Export Content (Inhalt exportieren) rechts oben in der Tanium Console.
  2. Wählen Sie LDAP Synchronization Connectors (LDAP-Synchronisierungskonnektoren) aus, wählen Sie dann das Export Format (Exportformat) (JSON oder XML) aus, und klicken Sie auf Export (Exportieren).
  3. Geben Sie einen File Name (Dateinamen) ein oder akzeptieren Sie den Standard, und klicken Sie dann auf OK. Der Tanium Server exportiert die Datei in den Ordner Downloads auf dem System, das Sie verwenden, um auf die Tanium Console zuzugreifen.

Import

Sie können Dateien importieren, die im JSON- oder XML-Format vorliegen.

  1. Signieren Sie die Inhaltsdatei digital und stellen Sie sicher, dass ein öffentlicher Schlüssel vorhanden ist, um die Signatur zu validieren, wie unter Authentifizieren von Inhaltsdateien beschrieben.
  2. Gehen Sie zur Seite Content (Inhalt) oder Permissions (Berechtigungen), und klicken Sie auf Import Content (Aus Inhalt importieren) rechts oben auf der Seite.
  3. Klicken Sie auf Choose File (Datei auswählen), suchen Sie die Konfigurationsdatei, und klicken Sie auf Open (Öffnen).
  4. Klicken Sie auf Import (Importieren). Wenn Objektnamen in der Datei identisch sind wie bei bestehenden Objekten, stellt die Tanium Console die Konflikte fest und bietet Lösungsoptionen für jeden einzelnen.
  5. Wählen Sie Lösungen für mögliche Konflikte aus. Anleitungen finden Sie unter Conflicts (Konflikte) und Best Practices (Beste Praktiken), oder wenden Sie sich an Ihren technischen Account Manager.
  6. Klicken Sie noch einmal auf Import (Importieren) und dann auf Close (Schließen), wenn der Import abgeschlossen ist.

Beste Praktiken

Wenn Sie von manuell erstellten Benutzern zu LDAP-synchronisierten Benutzern wechseln, könnten Sie versehentlich mehrere Konfigurationsobjekte für einen einzelnen echten Benutzer erstellen. Beispielsweise verwenden Sie die Tanium Console, um manuell einen Benutzer namens john.doe zu erstellen, und Sie führen auch eine Synchronisierung mit einem LDAP-Server durch, der denselben Benutzernamen zurückgibt. In diesem Fall verfügt der Tanium Server über zwei Benutzerkonfigurationen für john.doe und weist jedem davon automatisch eine eindeutige Objekt-ID zu (Objekt-IDs 2 und 3 in diesem Beispiel).

Abbildung 4:  Redundante Benutzerkonfigurationen

Vor der Korrektur solcher Redundanzen ist es wichtig, die Auswirkungen des Löschens von Benutzern auf verschiedene Arten zu verstehen:

  • Wenn Sie die Konfiguration für einen Benutzer löschen, der lokal auf dem Tanium Server definiert ist, aber der Benutzer weiterhin den in einem LDAP-Server definierten Filtern entspricht, behält der Tanium Server eine Konfiguration für den Benutzer bei.
  • Wenn Sie die Tanium Console verwenden, um ein Benutzerkonto zu löschen, das von einem LDAP-Server importiert wurde, bleibt dieser Benutzer nach der nächsten Synchronisierung gelöscht.
  • Wenn Sie einen Benutzer aus der Backend-LDAP -Serverkonfiguration löschen, markiert der Tanium Server den Benutzer nach der nächsten Synchronisierung als gesperrt. Der Benutzer kann sich nicht anmelden, aber der Tanium Server löscht nicht automatisch sein Benutzerkonto. Alle geplanten Fragen und Aktionen, die der Benutzer konfiguriert hat, werden weiterhin ausgeführt. Dies gibt anderen Tanium-Administratoren die Möglichkeit, die geplanten Fragen und Aktionen unter einem anderen Benutzerkonto neu zu erstellen.

Bei der Einrichtung und Verwaltung der Integration zwischen Tanium Servern und LDAP-Servern sollten Sie die folgenden bewährten Verfahren befolgen, um unerwartete Probleme zu vermeiden:

  • Wenn Sie Benutzerkonfigurationen löschen, um Redundanzen zu korrigieren, müssen Sie die Auswirkungen auf zugehörige Konfigurationsobjekte verstehen, z. B. auf geplante Aktionen, gespeicherte Fragen, Tanium Connect-Objekte, Lösungs-Plugins oder Lösungsmodul-Dienste. Im Beispiel aus Abbildung 4 gehören die Objekte, die john.doe – ID 2 erstellt hat, nicht ebenfalls zu john.doe – ID 3. Wenn Sie die Konfiguration für john.doe - ID 2 löschen, müssen Sie bereit sein, die Konfigurationsobjekte, die unter dieser ID ausgeführt werden, erneut zu erstellen oder die Besitzrechte an ihnen zu übertragen. Einzelheiten finden Sie unter Einen Benutzer löschen, wiederherstellen oder sperren.
  • Erstellen Sie auf dem Backend-LDAP-Server LDAP -Benutzergruppen, die den Tanium-Benutzergruppen entsprechen, und erstellen Sie Benutzerkonten für die Benutzer, die Zugriff auf das Tanium-System benötigen.
  • Verwalten Sie den Zugriff auf Tanium über die Backend-LDAP-Serverkonfiguration statt über die Frontend-Konfiguration der Tanium Console. Beispielsweise ist die beste Methode für die Aufnahme und Entfernung von Benutzern die Veränderung der Mitgliedschaft von synchronisierten Benutzergruppen.
  • Kontrollieren Sie den Zugriff auf die Backend-LDAP-Serverkonfiguration, sodass LDAP -Administratoren, die nicht mit Ihrer Tanium-Bereitstellung vertraut sind, keine Änderungen vornehmen können, die sie beeinflussen.
  • Behalten Sie auf dem Tanium Server mindestens ein Konto in der Konfiguration Users (Benutzer) bei, das der Tanium Server nicht von einem LDAP-Server importiert. Weisen Sie diesem lokalen Benutzer die reservierte Administratorrolle zu, sodass Sie das Konto verwenden können, um sich bei der Tanium Console anzumelden und die LDAP-Serververbindungen neu zu konfigurieren, falls diese ausfallen. Aus diesem Grund setzen einige Organisationen mehrere Administratorbenutzer außerhalb des LDAP-Servers ein. Um die Erstellung doppelter Benutzerkonfigurationen in Fällen zu vermeiden, in denen der Kontoname auch auf einem LDAP-Server vorhanden ist, können Sie die Einstellung Users Filter (Benutzerfilter) auf den LDAP-Servern so konfigurieren, dass sie die Synchronisierung für das Konto verhindert (siehe Tabelle 1).