Este artículo explica cómo configurar la importación y sincronización de usuarios y agrupaciones desde un directorio LDAP corporativo hacia SMARTFENSE. Incluye la conexión al servidor, el mapeo de atributos y la sincronización del estado activo o inactivo.
La configuración está disponible en Usuarios y grupos > Importación y sincronización > Desde directorio LDAP.
Pre-requisitos
- Acceso al servidor LDAP corporativo con un usuario de servicio que tenga permisos de lectura sobre el directorio.
- Conocimiento del esquema LDAP utilizado (atributos para email, nombre, apellido, grupos, etc.).
- Acceso de administrador a la instancia de SMARTFENSE.
El usuario de servicio solo necesita permisos de lectura sobre el directorio.
Conexión al servidor LDAP
- Ingrese la dirección del servidor LDAP en el campo Host. Puede usar una IP o un nombre de dominio. Ejemplo:
ldap.ejemplo.com. - Seleccione el Tipo de conexión:
- LDAP: conexión sin cifrar. Puerto 389 por defecto.
- LDAPS: conexión cifrada SSL/TLS. Puerto 636 por defecto.
- LDAP + StartTLS: inicia sin cifrar y luego negocia TLS. Puerto 389 por defecto.
- El campo Puerto se completa automáticamente según el tipo de conexión. Modifíquelo solo si su servidor utiliza un puerto diferente.
- Ingrese el Bind DN (Distinguished Name) del usuario de servicio que se autenticará en el directorio. Ejemplo:
cn=admin,dc=ejemplo,dc=com. - Ingrese la contraseña del usuario de servicio en el campo Bind Password.
- Ingrese el Base DN que define el punto de inicio para la búsqueda de usuarios. Ejemplo:
ou=personas,dc=ejemplo,dc=com. - Opcionalmente, modifique el Filtro LDAP para restringir la búsqueda. El filtro por defecto es:
(objectClass=inetOrgPerson)
Filtros más específicos posibles:
(&(objectClass=inetOrgPerson)(mail=*))
El ejemplo anterior importa solo usuarios con email definido.
8. El campo Timeout define el tiempo máximo de espera en segundos. El valor por defecto es 30 segundos. 9. Presione Comprobar conexión para validar la conectividad, la autenticación y la búsqueda.
Mapeo de atributos
Cada campo de mapeo debe coincidir exactamente con el nombre del atributo en su esquema LDAP. Los valores por defecto más comunes son:
| Campo en SMARTFENSE | Atributo LDAP por defecto | Obligatorio | Notas |
|---|---|---|---|
mail | Sí | Identificador único del usuario. | |
| Nombre | givenName | Sí | |
| Apellido | sn | Sí | |
| Nombre completo | displayName | No | |
| Grupos | ou | No | |
| Teléfono | telephoneNumber | No | |
| ID Empleado | employeeNumber | No |
Los usuarios que no tengan un valor de email válido en el directorio LDAP figurarán con error en el proceso de importación.
Sincronización del estado activo o inactivo
La sección Estado activo/inactivo sincroniza el estado de los usuarios desde LDAP hacia SMARTFENSE.
- Atributo de estado: nombre del atributo LDAP que contiene el estado de la cuenta.
- Valor que indica inactivo: valor que representa una cuenta bloqueada o inactiva.
Si ambos campos están vacíos, todos los usuarios se importarán como activos. Si el atributo está configurado pero un usuario no lo posee en el directorio, será considerado activo. Los usuarios cuyo valor del atributo coincida con el valor configurado serán marcados como inactivos.
💡 Mejores prácticas
- Use LDAPS o LDAP + StartTLS en producción para proteger las credenciales y los datos del directorio.
- Mantenga el usuario de servicio con permisos de solo lectura sobre el directorio.
- Documente el Bind DN y la política de rotación de su contraseña para evitar interrupciones futuras.
- Valide el filtro LDAP con una herramienta externa antes de cargarlo en SMARTFENSE, especialmente si combina condiciones.
- Ejecute Comprobar conexión ante cualquier cambio en el host, puerto, credenciales o filtro.