Questo articolo spiega come configurare l'importazione e la sincronizzazione di utenti e gruppi da una directory LDAP aziendale verso SMARTFENSE. Include la connessione al server, il mapping degli attributi e la sincronizzazione dello stato attivo o inattivo.
La configurazione è disponibile in Utenti e gruppi > Importazione e sincronizzazione > Da directory LDAP.
Prerequisiti
- Accesso al server LDAP aziendale con un utente di servizio che abbia permessi di lettura sulla directory.
- Conoscenza dello schema LDAP utilizzato (attributi per email, nome, cognome, gruppi, ecc.).
- Accesso amministrativo all'istanza di SMARTFENSE.
L'utente di servizio necessita solo dei permessi di lettura sulla directory.
Connessione al server LDAP
- Inserire l'indirizzo del server LDAP nel campo Host. Può essere un IP o un nome di dominio. Esempio:
ldap.ejemplo.com. - Selezionare il Tipo di connessione:
- LDAP: connessione non cifrata. Porta predefinita 389.
- LDAPS: connessione cifrata SSL/TLS. Porta predefinita 636.
- LDAP + StartTLS: avvia non cifrato e poi negozia TLS. Porta predefinita 389.
- Il campo Porta viene compilato automaticamente secondo il tipo di connessione. Modificarlo solo se il server utilizza una porta differente.
- Inserire il Bind DN (Distinguished Name) dell'utente di servizio che si autenticherà nella directory. Esempio:
cn=admin,dc=ejemplo,dc=com. - Inserire la password dell'utente di servizio nel campo Bind Password.
- Inserire il Base DN che definisce il punto di partenza per la ricerca degli utenti. Esempio:
ou=personas,dc=ejemplo,dc=com. - Facoltativamente, modificare il Filtro LDAP per limitare la ricerca. Il filtro predefinito è:
(objectClass=inetOrgPerson)
Filtri più specifici possibili:
(&(objectClass=inetOrgPerson)(mail=*))
L'esempio precedente importa solo utenti con email definita.
8. Il campo Timeout definisce il tempo massimo di attesa in secondi. Il valore predefinito è 30 secondi. 9. Premere Verifica connessione per validare la connettività, l'autenticazione e la ricerca.
Mapping degli attributi
Ogni campo di mapping deve corrispondere esattamente al nome dell'attributo nel proprio schema LDAP. I valori predefiniti più comuni sono:
| Campo in SMARTFENSE | Attributo LDAP predefinito | Obbligatorio | Note |
|---|---|---|---|
mail | Sì | Identificatore univoco dell'utente. | |
| Nome | givenName | Sì | |
| Cognome | sn | Sì | |
| Nome completo | displayName | No | |
| Gruppi | ou | No | |
| Telefono | telephoneNumber | No | |
| ID Dipendente | employeeNumber | No |
Gli utenti che non hanno un valore email valido nella directory LDAP risulteranno con errore nel processo di importazione.
Sincronizzazione dello stato attivo o inattivo
La sezione Stato attivo/inattivo sincronizza lo stato degli utenti da LDAP verso SMARTFENSE.
- Attributo di stato: nome dell'attributo LDAP che contiene lo stato dell'account.
- Valore che indica inattivo: valore che rappresenta un account bloccato o inattivo.
Se entrambi i campi sono vuoti, tutti gli utenti verranno importati come attivi. Se l'attributo è configurato ma un utente non lo possiede nella directory, sarà considerato attivo. Gli utenti il cui valore dell'attributo corrisponde al valore configurato saranno marcati come inattivi.
💡 Migliori pratiche
- Usare LDAPS o LDAP + StartTLS in produzione per proteggere le credenziali e i dati della directory.
- Mantenere l'utente di servizio con permessi di sola lettura sulla directory.
- Documentare il Bind DN e la politica di rotazione della password per evitare interruzioni future.
- Validare il filtro LDAP con uno strumento esterno prima di caricarlo in SMARTFENSE, specialmente se combina condizioni.
- Eseguire Verifica connessione ad ogni modifica di host, porta, credenziali o filtro.