连接LDAP目录服务器

LDAP (Lightweight Directory Access Protocol,轻量级目录访问协议)是一种允许应用程序从LDAP服务器检索用户数据的协议。您可以将AppSpider Enterprise连接到LDAP服务器进行身份验证,这将使您能够使用LDAP目录为您的用户提供访问权限。

您有几种方法可以为AppSpider Enterprise设置LDAP:

  • 在安装期间- AppSpider Enterprise Installer包含要设置LDAP的选项。您需要提供LDAP服务器地址,凭据对服务器进行身份验证,以及基本DN。

  • 后安装—如果您在安装过程中没有连接LDAP服务器到AppSpider Enterprise,请不要担心。您将能够通过修改NTOE配置文件在安装后设置LDAP。

请记住,只有在您将AppSpider Enterprise连接到您的LDAP服务器后,才能使用您的LDAP凭据登录。您将无法使用本地帐户登录。

在安装期间连接您的LDAP服务器

连接到LDAP服务器的最简单方法是在安装AppSpider Enterprise时执行此操作。安装程序提供了一个引导界面,要求您输入设置AppSpider Enterprise所需的信息,包括将AppSpider Enterprise或LDAP电子目录连接到Active Directory所需的信息。

在将AppSpider Enterprise连接到LDAP服务器之前,您需要指定要安装源文件、存储数据文件的位置,并提供连接数据库的信息。提供这些详细信息之后,就可以为LDAP服务器添加信息了。

如果打算使用LDAP进行身份验证,则无需设置Appspider Enterprise管理员帐户。Appspider Enterprise将使用Active Directory或Edirectory作为身份验证源。当您到达数据库连接时,请勿选择“创建Appspider Enterprise管理员帐户”选项。

要在安装过程中配置LDAP,您需要选择安装LDAP AD成员资格集成选项或选项安装LDAP eDirectory会员资格集成选项在“配置AppSpider Enterprise”屏幕上。选择符合身份验证需求的选项。

在设置数据库连接后的以下屏幕中,需要提供Active Directory或LDAP eDirectory的信息。

第一个LDAP配置屏幕允许您设置LDAP服务器的连接详细信息。

您需要提供以下信息:

  • 服务器地址—LDAP服务器的完全限定域名或IP地址。该地址必须包含LDAP运行的端口。例如,192.168.1.0:389是服务器地址的有效格式的示例。

  • 基地DN.—基准DN是指LDAP客户端在目录信息树中开始搜索用户的级别。基本DN的一个例子是DC =示例,DC = COM

  • 连接用户名和密码-您选择的帐户应该具有访问Active Directory或具有搜索权限的eDirectory。这允许AppSpider Enterprise连接到服务器并通过用户名进行搜索。

  • 连接保护—指定连接是否安全。一般来说,安全连接使用端口636进行SSL。非ssl连接使用端口389。

  • attribute地图电子邮件—属性map email是包含用户主邮件的LDAP属性。这个属性的默认值是“mail”。

下一个屏幕要求您为系统管理员设置一个帐户。

您需要提供以下信息:

  • 系统管理员—此选项指定要分配系统管理员权限的LDAP用户名。只能为该选项指定一个用户名。如果需要添加更多的系统管理员,请参见“添加多个系统管理员”。

  • 账户的客户名称- 这是选项标识要分配给LDAP用户的客户端。如果您需要一种进修,客户端是与Appspider Enterprise交互的用户集合;它设置谁可以使用该应用程序的界限。例如,如果要使用默认客户端,则可以为此选项输入“WebScantest”。为用户设置客户端后,无法更改它。

  • 帐户组名称—该选项指定可以登录AppSpider Enterprise来管理对应用的访问的AppSpider Enterprise组的名称。

  • UID属性地图—属性映射UID可以指定支持Windows 4.0、Windows 95、Windows 98、LAN Manager等以前版本的客户端和服务器的登录名。默认属性映射UID为samaccountname.

配置LDAP设置后,可以继续安装其余的安装。

安装了AppSpider Enterprise后配置LDAP

如果您已经安装了AppSpider Enterprise并且您想要使用LDAP进行身份验证,则需要修改NTOE配置文件并添加LDAP目录的信息。需要修改的NTOE配置文件中有两个版本。它们位于以下目录中:

  • C: Program Files(x86)\Rapid7\AppSpider Enterprise 3.x\IIS.NET\bin

  • C: Program Files(x86)\Rapid7\AppSpider Enterprise 3.x\AppSpiderScheduler2

你需要替换“3”。您正在运行的AppSpider Enterprise版本的文件路径。

为AppSpider Enterprise配置LDAP。

  1. 开放C: Program Files(x86)\Rapid7\AppSpider Enterprise 3.x\IIS.NET\bin\NTOE.config使用文本编辑器。您可能需要具有管理员权限才能编辑该文件。

  2. 找到System.Web.元素。

  3. 在该元素中,找到以开头的行。

  1. 提供以下选项的信息:

  • autoattachaccountClientName.- 这是选项标识要分配给LDAP用户的客户端。如果您需要一种进修,客户端是与Appspider Enterprise交互的用户集合;它设置谁可以使用该应用程序的界限。例如,如果要使用默认客户端,则可以为此选项输入“WebScantest”。为用户设置客户端后,无法更改它。

  • autoattachaccountgroupname.-如果一个用户在AppSpider中创建了一个新组,并设置了一些权限,新用户第一次使用AD登录AppSpider,将被自动附加到这个组中定义的权限。

  • autoattachassysadmin—此选项指定要分配系统管理员权限的LDAP用户名。只能为该选项指定一个用户名。如果需要添加更多的系统管理员,请参见“添加多个系统管理员”。

  • ldapserver- 此选项标识要使用的LDAP服务器。主机名必须是LDAP服务器的完全限定域名或IP地址,并包含LDAP运行的端口。LDAP服务器地址的示例将是my.server.com: 389

  • ldapUser—此选项指定具有附加LDAP权限的LDAP用户名。

  • ldapPassword-此选项指定您指定的用户名的密码ldapUser.您可以使用nto.enterprise.tools.passwordencrypter.exe.在安装路径中找到的实用程序,即:C:\Program Files (x86)\Rapid 7\AppSpider Enterprise 3.8\IIS.NET\bin

  • ldapbase.-该选项指定从何处开始搜索用户的基本dn,即:CN= users, DC=example,DC=com。

  • LDAPSSL.—该选项指定与LDAP环境的通信是否使用SSL。有效的值真的或者

  • ldapAllwaysTrustCertificate—该选项指定是否跳过从LDAP验证证书。有效的值真的或者

  • ldapUIDAttribute—该选项指定用户登录时使用LDAP属性的映射。即:samaccountname.

  • ldapemailattribute.—此选项指定用户登录电子邮件与LDAP属性的映射。即:邮件.您可以使用nto.enterprise.tools.passwordencrypter.exe.在安装路径中找到的实用程序,即:C:\Program Files (x86)\Rapid 7\AppSpider Enterprise 3.8\IIS.NET\bin

保存文件。

再次重复这些步骤C: Program Files(x86)\Rapid7\AppSpider Enterprise 3.X\AppSpiderScheduler2\NTOE.config

通过LDAP添加客户端帐户

每个与AppSpider合作的人都需要有一个账户,这决定了他们对应用程序某些领域的访问级别和他们可以做的事情的类型。你可以为AppSpider Enterprise添加两种帐户类型:

  • 系统管理员帐户—系统管理员帐户对系统和客户端帐户的建立和配置具有控制作用。该帐户类型不映射给客户端,可以创建不同的组来分配用户、权限或角色。系统管理员可以管理每个客户端的用户、组和配置。

  • 客户账户—客户端帐号由系统管理员创建,实现权限与配置的分离。每个帐户都映射到一个客户端,这使得可以轻松地与第三方系统集成。

添加客户帐户

如果使用LDAP进行身份验证,则无法通过AppSpider Enterprise用户界面添加用户帐户。相反,用户应该使用其LDAP凭据登录AppSpider Enterprise。登录后,其帐户将被映射到为LDAP指定的客户端和组。

添加多个系统管理员帐号

添加系统管理员是一个多步骤的过程,需要您:

  • 验证所有使用系统管理员帐号的用户至少登录一次AppSpider Enterprise。登录后映射为系统管理员帐号。该映射完成后,才能添加新的系统管理员帐户。

  • 通过修改NTOE配置文件,增加新的系统管理员。

  • 使用新添加的系统管理员帐号登录“AppSpider Enterprise”。

  • 重复此过程以添加其他系统管理员。

现在您已经熟悉了先决条件,让我们进一步了解如何添加另一个系统管理员:

  1. 开放C: Program Files(x86)\Rapid7\AppSpider Enterprise 3.x\IIS.NET\bin\NTOE.config使用文本编辑器。您可能需要具有管理员权限才能编辑该文件。

  2. 找到System.Web.元素。

  3. 在该元素中,找到以"开头的行。

  1. 找到选项autoattachassysadmin

  1. 替换当前指定的用户名autoattachassysadmin使用您想要添加的系统管理员用户名。

  1. 保存您的更改。

  2. 再次重复这些步骤C: Program Files(x86)\Rapid7\AppSpider Enterprise 3.X\AppSpiderScheduler2\NTOE.config

  3. 修改了NTOE配置文件后,您需要使用您刚刚添加的系统管理员帐户登录AppSpider Enterprise。

如果该用户已经作为客户端存在于AppSpider Enterprise中,则不能作为系统管理员添加该用户。检查客户端,看看帐户是否已经存在,并删除用户,如果他们存在于AppSpider企业。查看客户端列表,请转到系统>客户在AppSpider Enterprise用户界面中。

删除它们后,您可以将其帐户信息添加到NTOE配置文件。