Menu Docs
Página inicial do Docs
/
MongoDB Ops Manager
/
Segurança

Configurar usuários do Ops Manager para autenticação e autorização LDAP

Nesta página

  • Visão geral
  • Pré-requisitos
  • Procedimento
  • Solução de problemas

Visão geral

É possível usar um serviço LDAP (Lightweight Directory Access Protocol) para gerenciar a autenticação e a autorização de usuários do Ops Manager. Os usuários se conectam por meio do Ops Manager e, em seguida, o Ops Manager pesquisa o usuário no diretório LDAP e sincroniza o nome e os endereços de e-mail do usuário nos registros de usuário do Ops Manager com os valores nos registros de usuário LDAP.

Para configurar o Ops Manager para usar o LDAP, acesse: Admin > General > Ops Manager Config > User Authentication.

Observação

Este tutorial descreve a autenticação de usuários da interface web do Ops Manager.

Se suas implantações do MongoDB também usarem LDAP, você deverá criar separadamente usuários do MongoDB para os agentes do MongoDB , conforme descrito em Configurar o MongoDB Agent para LDAP.

Este tutorial descreve como:

  • Configurar autenticação LDAP para o Ops Manager

  • Mapear grupos LDAP para Roles de organização do Ops Manager e Roles de projeto

Autenticação de usuários

Quando um usuário tenta fazer login, o Ops Manager procura um usuário correspondente e os grupos do usuário usando uma query LDAP.

  • O Ops Manager efetua login no LDAP como o usuário search, usando as credenciais especificadas nos campos LDAP Bind Dn e LDAP Bind Password.

  • O Ops Manager pesquisa o nome distinto de base especificado no campo LDAP User Base Dn e faz a correspondência com o usuário de acordo com o atributo LDAP especificado no campo LDAP User Search Attribute.

  • O Ops Manager procura sob o nome distinto de base especificado no campo LDAP Group Base Dn e corresponde aos grupos do usuário de acordo com o atributo LDAP especificado no campo LDAP Group Member Attribute. Se nenhum valor for fornecido para o LDAP Group Base Dn, o Ops Manager usará o valor de LDAP User Base Dn para procurar associações ao grupo LDAP.

  • Se for encontrado um usuário correspondente, o Ops Manager autenticará a senha fornecida em relação à senha LDAP do usuário fornecido.

Controle de autorização/acesso

Os grupos LDAP permitem controlar o acesso ao Ops Manager. Você associa os grupos LDAP aos roles do Ops Manager da organização e do projeto e atribui os grupos LDAP aos usuários que devem ter esses roles.

Mapa de entradas LDAP para registros do Ops Manager como segue:

LDAP

Ops Manager

Usuário
Usuário
Grupo
Role da organização/projeto

Para usar os grupos LDAP de forma eficaz, crie projetos adicionais no Ops Manager para controlar o acesso a sistemas específicos em sua organização, como a criação de projetos separados do Ops Manager para ambientes de desenvolvimento e produção. Em seguida, você pode mapear um grupo LDAP para um role no projeto Ops Manager para fornecer acesso a um sistema.

Observação

  • Alterações feitas em grupos LDAP podem levar até uma hora para entrar em vigor no Ops Manager. As alterações entram em vigor imediatamente para os usuários em grupos afetados quando eles se desconectam e conectam novamente no Ops Manager.

  • Se um usuário LDAP não pertencer a nenhum grupo LDAP, o gerente de operações não atribuirá nenhuma função, organização ou projeto ao usuário.

  • Se um usuário LDAP receber uma função de projeto, mas nenhuma função de organização, o Ops Manager atribuirá automaticamente ao usuário a função de membro da organização.

Se você tiver vários departamentos com suas próprias necessidades de faturamento, configurações de alerta e membros do projeto, crie uma nova organização para cada departamento.

LDAP sobre SSL

Se você usar LDAP em uma conexão SSL (LDAPS), preencha estes campos:

Campo
Valor necessário
LDAP SSL CA File
O caminho para um arquivo de chave PEM para uma autoridade de certificação confiável.
LDAP SSL PEM Key File
O caminho para um arquivo de chave PEM que contém um certificado do cliente e uma chave privada.
LDAP SSL PEM Key File Password
A senha para descriptografá-la se o LDAP SSL PEM Key File for codificado.

Pré-requisitos

O servidor LDAP deve:

  • Ser instalado, configurado e acessível ao Ops Manager.

  • Incorpore as associações de grupo de cada usuário como um atributo da Entrada LDAP de cada usuário.

    Importante

    Use o atributo de usuário LDAP member se desejar incluir grupos LDAP aninhados em associações de grupo do Ops Manager.

    Por exemplo, se o usuário LDAP jsmith pertencer ao grupo LDAP B e o grupo LDAP B pertencer ao grupo LDAP A, o MongoDB Ops Manager reconhecerá jsmith como membro dos grupos A e B.

  • Inclua um usuário que possa procurar no DN de base, que inclui usuários e grupos do Ops Manager.

  • Incluir um grupo para Global Owners.

    • Você deve inserir este grupo no campo LDAP Global Role Owner quando você configurar LDAP no Ops Manager.

      Exemplo

      Se o LDAP tiver um grupo admin para usar por administradores do Ops Manager, insira admin no campo LDAP Global Role Owner.

    • Após habilitar a autenticação LDAP, você deve primeiro se conectar ao Ops Manager como um usuário que pertence a esse grupo para criar o projeto inicial do Ops Manager (se aplicável) e mapear grupos LDAP para roles de projeto e organização.

      Importante

      Depois que o Ops Manager for convertido em autenticação LDAP, somente o usuário com a role Proprietário Global que alterar o método de autenticação permanecerá conectado. Todos os outros usuários são desconectados e precisam fazer login novamente no Ops Manager usando seu nome de usuário e senha do LDAP. Os usuários sem um nome de usuário e senha do LDAP não podem mais se conectar ao Ops Manager.

Procedimento

Para configurar a autenticação LDAP:

1

Defina seus registros de usuário no sistema LDAP de sua escolha.

Para encontrar uma descrição das classes de objetos e tipos de atributos padrão do LDAP, consulte Esquema de protocolo de acesso a diretórios leves para aplicativos de usuário.

2

Navegue até a User Authentication aba da Ops Manager Config página.

  1. Clique no link Admin no canto superior direito da página.

  2. Clique na aba General.

  3. Clique na página Ops Manager Config.

  4. Click User Authentication tab.

3

Digite definições de configuração LDAP.

  1. Insira valores para os seguintes campos de configuração LDAP obrigatórios:

    Campo
    em ação
    Exemplo
    User Authentication Method
    Selecione LDAP.
    LDAP
    LDAP URI

    Digite o nome do host e a porta do servidor LDAP.

    Se você estiver usando vários servidores LDAP para autenticação, separe cada URI com um espaço.

    IMPORTANTE: o MongoDB Ops Manager não aceita nomes de host que contenham um caractere de sublinhado (_) no campo LDAP URI.

    ldap://ldap.example.com:389
    LDAP SSL CA File
    Digite o caminho para um arquivo de chave PEM contendo o certificado para a CA que assinou o certificado usado pelo servidor LDAPS. Esse campo opcional é usado pelo aplicativo de Ops Manager para verificar a identificação do servidor LDAPS e evitar ataques intermediários. Se essa configuração não for fornecida, o Ops Manager usa o pacote de certificado CA raiz padrão que vem com o Java Runtime Environment (JRE). Se o certificado do servidor LDAPS não puder ser verificado por uma autoridade de certificação raiz (ou seja, se ele for autoassinado), as solicitações ao servidor LDAPS falharão.
    /opt/cert/ca.pem
    LDAP SSL PEM Key File
    Digite o caminho para um arquivo de chave PEM que contém um certificado de cliente e uma chave privada. Esse campo é opcional e deverá ser usado somente se o servidor LDAPS exigir que os certificados do cliente sejam passados pelos aplicativos do cliente. Isso é usado para assinar solicitações enviadas do servidor do aplicativo de Ops Manager para o servidor LDAPS. Desse modo, o servidor LDAPS pode verificar a identificação do servidor de aplicativos do Ops Manager.
    /opt/cert/ldap.pem
    LDAP SSL PEM Key File Password
    Digite a senha que descriptografa o arquivo de chave PEM SSL LDAP. Se seus certificados de cliente especificados no campo Arquivo de chave LDAP SSL PEM forem exigidos pelo servidor LDAPS e se o certificado de cliente especificado no Arquivo de chave LDAP SSL PEM estiver armazenado criptografado no sistema de arquivos, esse campo será obrigatório.
    <encrypted-password>
    LDAP Bind Dn
    Digite um usuário credenciado no servidor LDAP que possa realizar pesquisas para usuários.
    cn=admin, dc=example, dc=com
    LDAP Bind Password
    Digite a senha do usuário do Bind Dn no servidor LDAP.
    <password>
    LDAP User Base Dn
    Digite o nome distinto que o Ops Manager usa para pesquisar usuários no servidor LDAP.
    dc=example, dc=com
    LDAP User Search Attribute
    Digite o campo LDAP no servidor LDAP que especifica o nome de usuário.
    uid
    LDAP Group Base Dn
    Digite o nome distinto que o Ops Manager usa para pesquisar grupos no servidor LDAP.
    ou=othergroups, dc=example, dc=com
    LDAP Group Member Attribute
    Digite o atributo do grupo LDAP que especifica a lista de usuários LDAP que pertencem a esse grupo.
    member
    LDAP User Group
    Digite o atributo de usuário LDAP que especifica os grupos LDAP aos quais o usuário pertence. O atributo LDAP pode usar qualquer formato para listar os grupos, incluindo Nome Comum (cn) ou Nome Distinto (dn). Todas as configurações do Ops Manager que especificam grupos devem corresponder ao formato escolhido.
    memberOf
    LDAP Global Role Owner
    Digite o grupo LDAP ao qual pertencem os proprietários globais do Ops Manager.
    cn=global-owner, ou=groups, dc=example, dc=com

    Observação

    Cada grupo de Role global fornece aos membros do seu grupo LDAP associado ou grupos um role global do Ops Manager. Os roles globais fornecem acesso a todos os projetos do Ops Manager no sistema do Ops Manager.

  2. Digite valores para os seguintes campos Configuração LDAP Opcional, se necessário.

    Importante

    Você deve usar o nome distinto totalmente qualificado para cada grupo. Se vários grupos LDAP ou SAML corresponderem ao mesmo papel, separe-os com dois pontos e vírgulas (;;). Remova um grupo do campo de uma função para revogar o acesso do grupo para essa função.

    Campo
    em ação
    LDAP User First Name
    Digite o atributo dos usuários LDAP que especifica o nome do usuário.
    LDAP User Last Name
    Digite o atributo dos usuários LDAP que especifica o sobrenome do usuário.
    LDAP User Email
    Digite o atributo dos usuários LDAP que especifica o endereço de e-mail do usuário.
    LDAP Global Role Automation Admin
    Digite os grupos LDAP ao qual pertencem os Administradores de automação global do Ops Manager. Você pode digitar vários grupos LDAP neste campo se forem separados por dois ponto e vírgula (;;).
    LDAP Global Role Backup Admin
    Digite o(s) grupo(s) LDAP ao qual pertencem os Administradores de Backup Global do Ops Manager. Você pode digitar vários grupos LDAP neste campo se forem separados por dois pontos e vírgulas (;;).
    LDAP Global Role Monitoring Admin
    Digite o(s) grupo(s) LDAP ao qual pertencem os Administradores de Monitoramento Global do Ops Manager. Você pode digitar vários grupos LDAP neste campo se forem separados por dois pontos e vírgulas (;;).
    LDAP Global Role User Admin
    Digite os grupos LDAP aos quais os administradores de usuário global do Ops Manager pertencem. Você pode digitar vários grupos LDAP neste campo se forem separados por dois-pontos e vírgula (;;).
    LDAP Global Role Read Only
    Digite os grupos LDAP aos quais os usuários globais somente leitura do Ops Manager pertencem. Você pode digitar vários grupos LDAP neste campo se eles estiverem separados por dois pontos e vírgulas (;;).
4

Clique em Save.

5

Conecte-se como proprietário global.

Conecte-se no Ops Manager como um usuário LDAP que faz parte do grupo LDAP especificado no campo Ops Manager LDAP Global Role Owner.

Após o login bem-sucedido, o Ops Manager exibe a página de seus projetos.

6

Associar grupos LDAP a roles de projeto.

Para associar grupos LDAP com roles em um novo projeto:

Observação

Você deve ter qualquer role global para criar um novo projeto.

  1. Clique em Admin > General > Projects.

  2. Clique em Create a New Project.

  3. Em Project Name, digite um nome para o novo projeto do gerente de operações.

  4. Insira os grupos LDAP que correspondem a cada role do projeto.

    Importante

    Você deve usar o nome distinto totalmente qualificado para cada grupo. Se vários grupos LDAP ou SAML corresponderem ao mesmo papel, separe-os com dois pontos e vírgulas (;;). Remova um grupo do campo de uma função para revogar o acesso do grupo para essa função.

  5. Clique em Add Project.

Para atualizar a associação de grupos LDAP com roles em um projeto existente:

  1. Clique em Admin > General > Projects.

  2. Na coluna Actions de um projeto, clique em e depois em Edit LDAP Settings.

  3. Insira os grupos LDAP que correspondem a cada role do projeto.

    Importante

    Você deve usar o nome distinto totalmente qualificado para cada grupo. Se vários grupos LDAP ou SAML corresponderem ao mesmo papel, separe-os com dois pontos e vírgulas (;;). Remova um grupo do campo de uma função para revogar o acesso do grupo para essa função.

  4. Clique em Save Changes.

7

Opcional: associar grupos LDAP a roles da organização.

Para associar grupos LDAP com roles para uma nova organização:

Observação

Você deve ter qualquer papel global para criar uma nova organização.

  1. Clique em Admin > General > Organizations.

  2. Clique em Create a New Organization.

  3. Em Organization Name, digite um nome para a nova organização do Ops Manager.

  4. Insira os grupos LDAP que correspondem com cada role da organização.

    Importante

    Você deve usar o nome distinto totalmente qualificado para cada grupo. Se vários grupos LDAP ou SAML corresponderem ao mesmo papel, separe-os com dois pontos e vírgulas (;;). Remova um grupo do campo de uma função para revogar o acesso do grupo para essa função.

  5. Clique em Add Organization.

Para atualizar a associação de grupos LDAP com roles para uma organização existente:

  1. Clique em Admin > General > Organizations.

  2. Clique no botão Edit Org.

  3. Insira os grupos LDAP que correspondem com cada role da organização.

    Importante

    Você deve usar o nome distinto totalmente qualificado para cada grupo. Se vários grupos LDAP ou SAML corresponderem ao mesmo papel, separe-os com dois pontos e vírgulas (;;). Remova um grupo do campo de uma função para revogar o acesso do grupo para essa função.

  4. Clique em Save Changes.

8

Adicione suas MongoDB deployments.

Especifique as configurações de autenticação LDAP ao adicionar uma implantação MongoDB.

Solução de problemas

O Ops Manager ativa a detecção de endpoint por padrão no JDK. Você deve usar certificados de servidor confiáveis para seus hosts do Ops Manager.

Se você não puder usar certificados confiáveis:

  1. Desabilite a identificação do endpoint. Adicione o -Dcom.sun.jndi.ldap.object.disableEndpointIdentification=true à propriedade JAVA_MMS_UI_OPTS no mms.conf.

  2. Reinicie todos os serviços do Ops Manager após essa alteração.

Aviso

A desabilitação dessa funcionalidade afeta a segurança do Ops Manager. Você deve configurar um certificado válido e confiável.

Voltar

Conexões seguras

Próximo

Configurar SAML