Splunk Cấu hình xác thực LDAP cho Splunk Enterprise

diephan

Internship/Fresher
Sep 7, 2020
70
22
8
Splunk Enterprise cho phép cấu hình người dùng và vai trò cho người dùng và nhóm LDAP và có thể định cấu hình một hoặc nhiều máy chủ LDAP và ánh xạ người dùng và nhóm người dùng từ máy chủ sang vai trò Splunk.

Các thông tin cần có để thiết lập xác thực bằng LDAP trên Splunk bao gồm:


1. Một máy chủ đang chạy LDAP ( Active Directory LDAP)
2. Kiểm tra port mà LDAP đang chạy trên server (Mặc định là TCP 389 với kết nối được mã hóa SSL thường sẽ được chạy trên TCP 636).
3. Account có quyền liên kết tới LDAP server (được gọi là Bind DN)
Để thực hiện các truy vấn LDAP, phải có một tài khoản dịch vụ được liên kết hoặc Bind DN, có quyền truy cập LDAP tồn tại.

Tạo user splunk-ldap với các quyền như sau:

1.jpg


Định dạng cụ thể cho tên người dùng được gọi là định dạng distinguished name (DN). Nó thường bắt đầu bằng CN (common name), cách xác định như sau:
Vào Run gõ ldp

2.jpg



Click chuột phải vào ADSI Edit -> Connect to..-> chọn OK

3.jpg



Ở mục CN=Users - nơi tạo user splunk-ldap chọn chuột phải vào CN=splunk-ldap ->
Properties

4.jpg



Đây là distinguished name của splunk-ldap

5.jpg


4. Vị trí của user trong LDAP structure (gọi là User Base DN)
Tùy thuộc vào cấu trúc Active Directory thì có thể thấy thông tin người dùng nằm trong một hoặc nhiều nhánh của cây LDAP, thông thường sẽ nằm trong OU=Users, cách xác định DN cũng tương tự như trên.
Splunk hỗ trợ nhiều User Base DNs, trong trường hợp tổ chức có nhiều User Base DNs được chỉ định, chúng phải được phân tách bằng dấu chấm phẩy chứ không phải dấu cách.
VD:
OU=Splunk-Users,OU=Groups,OU=US,DC=your-domain,DC=com;OU=Splunk-Users,OU=Groups,OU=EU,DC=your-domain,DC=com


5. Vị trí của các group sẽ yêu cầu quyền truy cập vào Splunk
Ví dụ ở đây là một group có tên là Group có chưa các nhóm người dùng Splunk-admin và splunk-user (xác định DN như trên)


6.jpg



Cách cấu hình LDAP bằng cách sử dụng Splunk Web
Vào Setting-> Authentication Methods

7.jpg


Chọn LDAP Settings

8.jpg


Chọn New LDAP

9.jpg


Điền vào các trường thông tin đã có:

10.jpg



• User base filter: lọc user giúp giảm số lượng người dùng được đưa vào splunk (mặc định là trống)
• User name attribute: điền vào thuộc tính xác định tên người dùng ,trong AD thường là sAMAccountName
• Real name attribute: điền vào thuộc tính cung cấp tên thật của người dùng, thường là displayName hoặc cn (common name)
• Group mapping attribute: điền vào thuộc tính mà group xác định các thành viên, mặc định ở AD là dn
• Static group search filter: điền vào thuộc tính objectclass để lọc nhóm, mặc định là để trống nghĩa là không lọc
• Static member attribute: điền vào thuộc tính có giá trị là thành viên trong nhóm, thường là member, uniqueMember, memberUid

Tiếp theo, để xác minh rằng Splunk có thể giao tiếp với LDAP và lấy thông tin nhóm vào Setting -> Authentication Methods -> LDAP strategies, chọn vào Map groups. Từ đây ta sẽ thấy tất cả các nhóm trong Group Base DN
11.jpg


Click vào tên nhóm sẽ thấy danh sách các vai trò và người dùng trong nhóm:

12.jpg


Cuối cùng, chọn Settings->Users, sẽ thấy danh sách tất cả user, lưu ý khi đặt tên, user LDAP và user tạo thủ công trên Splunk phải khác nhau.

13.jpg


---- hết ----
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu