使用 LDAP 驗證

Tenable Identity Exposure 允許您使用輕量型目錄存取通訊協定 (LDAP) 驗證使用者。

如要啟用 LDAP 驗證,您必須具備下列條件:

  • 預先設定的服務帳戶,其中包含存取 Active Directory 的使用者和密碼。

  • 預先設定的 Active Directory 群組。

設定 LDAP 驗證之後,登入頁面的索引標籤中會出現 LDAP 選項。

如要設定 LDAP 驗證:

  1. Tenable Identity Exposure 中,按一下「系統」>「設定」。

    「設定」窗格會隨即顯示。

  2. 在「驗證」區段下,按一下「LDAP」。

  3. 按一下「啟用 LDAP 驗證 切換為「啟用」。

    LDAP 資訊表會隨即顯示。

  4. 提供以下資訊:

  • 在「LDAP 伺服器位址」方塊中,輸入以 ldap:// 開頭並以網域名稱和連接埠號碼結尾的 LDAP 伺服器的 IP 位址。

    注意:如果您使用 LDAPS 伺服器,請輸入以 ldaps:// 開頭並以網域名稱和連接埠號碼結尾的伺服器位址。請參閱程序 如要為 LDAPS 新增自訂的受信任憑證授權單位 (CA) 憑證: 以完成 LDAP 的設定。
  • 在「用於查詢 LDAP 伺服器的服務帳戶」方塊中,輸入您用來存取 LDAP 伺服器的辨別名稱 (DN)、SamAccountName 或 UserPrincipalName。

  • 在「服務帳戶密碼」方塊中,輸入此服務帳戶的密碼。

  • 在「LDAP 搜尋基礎」方塊中,輸入 Tenable Identity Exposure 在搜尋嘗試連線的使用者時使用的 LDAP 目錄,以 DC=OU= 開頭。這可以是 root 目錄或特定的組織單位。

  • 在「LDAP 搜尋篩選器」方塊中,輸入 Tenable Identity Exposure 用於篩選用戶的屬性。Active Directory 中的標準驗證屬性為 sAMAccountname={{login}},其中 login 的值是使用者在驗證期間提供的值。

  1. 針對「啟用 SASL 繫結」,請執行下列其中一項動作:

    • 如果您使用 SamAccountName 作為服務帳戶,請按一下「啟用 SASL 繫結」切換為「啟用」。

    • 如果您為服務帳戶使用辨別名稱或 UserPrincipalName,請保留「啟用 SASL 繫結」為停用狀態。

  1. 在「預設設定檔和角色」區段下,按一下「新增 LDAP 群組」以指定允許進行驗證的群組。

    LDAP 群組資訊表會隨即顯示。

    • 在「LDAP 群組名稱」方塊中,輸入群組的辨別名稱 (例如:CN=TAD_User,OU=Groups,DC=Tenable,DC=ad)

    • 在「預設設定檔」下拉式方塊中,選取允許群組的設定檔。

    • 在「預設角色」方塊中,選取允許群組的角色。

  1. 如有必要,按一下 圖示以新增允許的群組。

  2. 按一下「儲存」。

如要為 LDAPS 新增自訂的受信任憑證授權單位 (CA) 憑證:

  1. Tenable Identity Exposure 中,按一下「系統」。

  2. 按一下「設定」索引標籤以顯示設定窗格。

  3. 在「應用程式服務」區段下,按一下「受信任的憑證授權單位」。

  4. 在「其他 CA 憑證」方塊中,貼上貴公司 PEM 編碼的受信任 CA 憑證,以便 Tenable Identity Exposure 使用。

  5. 按一下「儲存」。

如需有關安全性設定檔和角色的詳細資訊,請參閱: