Intégration aux serveurs LDAP

Vue d’ensemble du protocole LDAP

Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole standard, inter-plateforme, client-serveur pour interagir avec des services de répertoire tels que Active Directory (AD) sur un réseau IP (Internet Protocol). Tanium Core Platform prend en charge le protocole LDAP pour authentifier les utilisateurs et importer des utilisateurs et des groupes d’utilisateurs. Vous pouvez configurer le serveur Tanium pour vous connecter à plusieurs serveurs LDAP.

Le serveur Tanium est synchronisé automatiquement avec chaque serveur LDAP toutes les cinq minutes et vous pouvez effectuer une synchronisation manuelle à tout moment. La synchronisation met à jour le serveur Tanium avec toutes les modifications apportées sur le serveur LDAP, y compris les utilisateurs nouveaux, mis à jour, désactivés ou supprimés, les groupes d’utilisateurs nouveaux, mis à jour, désactivés ou supprimés, et les modifications apportées aux membres des groupes d’utilisateurs. Dans chaque configuration du serveur LDAP, vous spécifiez si vous souhaitez authentifier les utilisateurs synchronisés via le serveur LDAP. Sinon, le serveur Tanium applique toutes les autres méthodes d’authentification que vous avez configurées (reportez-vous à la section Authentification de l’utilisateur).

Configurez l’intégration aux serveurs LDAP avant d’exécuter d’autres tâches de configuration RBAC.

Vous devez disposer du rôle réservé Administrateur pour pouvoir voir et utiliser la page Administration (Administration) > Configuration (Configuration) > Authentication (Authentification) > LDAP/AD Sync (Synch. LDAP/AD).

La F : Figure 1 illustre la synchronisation et l’authentification LDAP pour le déploiement suivant :

• Le serveur Tanium est installé sur un appliance Tanium et utilise un chiffrement LDAP sécurisé (LDAPS) pour les connexions aux serveurs LDAP.

  Les options de Chiffrement disponibles dépendent des systèmes d’exploitation du serveur Tanium et des serveurs LDAP.

• Toutes les configurations LDAP spécifient que les serveurs LDAP authentifient les utilisateurs importés.
• Un compte (Tanium_Admin) avec le rôle réservé Administrateur n’est pas importé à partir d’un serveur LDAP, et l’appliance Tanium utilise son service d’authentification local pour cet utilisateur. Cette configuration garantit qu’au moins un utilisateur peut accéder à la console Tanium même si les connexions LDAP sont en panne.

Les étapes suivantes (correspondant aux chiffres dans la F : Figure 1) résument le processus de synchronisation LDAP pour cet exemple de déploiement.

	Chaque configuration du serveur LDAP identifie les utilisateurs et les groupes d’utilisateurs à synchroniser avec le serveur LDAP. Pour des détails sur la configuration, reportez-vous à la section Filtrage des utilisateurs et des groupes d’utilisateurs et Configurer un serveur LDAP.
	Le serveur Tanium initie des connexions avec les serveurs LDAP pour effectuer l’importation initiale des utilisateurs et des groupes d’utilisateurs et demander périodiquement des mises à jour. Toutes les configurations du serveur LDAP spécifient le chiffrement LDAPS dans cet exemple, de sorte que le serveur Tanium se connecte au port 636 sur les serveurs LDAP.

Les étapes suivantes (correspondant aux lettres dans la F : Figure 1) résument le processus d’authentification LDAP pour cet exemple de déploiement.

	Un utilisateur synchronisé saisit un nom de domaine (si tel est requis), un nom d’utilisateur et un mot de passe pour se connecter à Tanium Console.
	Le serveur Tanium utilise le nom d’utilisateur spécifié pour trouver l’identificateur externe correspondant (comme objectGUID) dans la base de données Tanium. (Dans la configuration du serveur LDAP, la propriété de l’ID unique de l’utilisateur spécifie cet identifiant).
	Le serveur Tanium utilise l’identificateur externe pour interroger le serveur LDAP pour le nom unique (DN) correspondant de l’utilisateur, tel que cn=jdoe,ou=noc,dc=acme,dc=com. (La requête repose sur les mêmes paramètres que ceux utilisés pour la synchronisation : reportez-vous aux sections Filtrage des utilisateurs et des groupes d’utilisateurs et Configurer un serveur LDAP.) Le serveur LDAP authentifie ensuite l’utilisateur en fonction du nom de domaine et du mot de passe de connexion. Une fois que le serveur LDAP a renvoyé un message de réussite d’authentification, le serveur Tanium permet à l’utilisateur d’accéder à la console Tanium.
	Lorsqu’un utilisateur configuré localement (Tanium_Admin) saisit les informations d’identification pour la connexion, le serveur Tanium utilise le service d’authentification local pour authentifier l’utilisateur, puis lui donne accès à Tanium Console.

Filtrage des utilisateurs et des groupes d’utilisateurs

Avant de configurer les connexions du serveur LDAP, assurez-vous de comprendre les interactions entre les paramètres suivants, que le serveur Tanium utilise pour filtrer les utilisateurs et les groupes d’utilisateurs qu’il synchronise. Par exemple, sachant que la meilleure pratique consiste à configurer le contrôle d’accès basé sur les rôles (RBAC) pour les utilisateurs Tanium en fonction des permissions de groupe au lieu des permissions d’utilisateur, vous pouvez exclure les utilisateurs qui ne sont pas affectés aux groupes. La F : Figure 2 et la F : Figure 3 illustrent un exemple des étapes que les serveurs effectuent dans ce cas d’utilisation, avec des flux de travail distincts pour filtrer les utilisateurs sur les serveurs LDAP et le serveur Tanium.

• Base de données de groupes : Lorsque le serveur Tanium envoie une demande de synchronisation ( dans les deux figures), le serveur LDAP recherche uniquement les groupes d’utilisateurs qui sont sous ce DN de base, comme cn=adm,ou=tanium,dc=acme,dc=com.
• Filtre de groupes : le serveur LDAP utilise ce champ pour filtrer les groupes d’utilisateurs dans la base de données de groupes. Dans cet exemple, le serveur LDAP renvoie les groupes uniquement si leur attribut objectClass est défini sur group ( dans les deux figures). Le serveur Tanium synchronise ensuite ces groupes ( dans les deux figures).
• Base de données des utilisateurs : le serveur LDAP recherche uniquement les utilisateurs qui sont sous ce DN de base, comme cn=adm,ou=tanium,dc=acme,dc=com.
• Filtre des utilisateurs : Le serveur LDAP utilise ce champ pour filtrer les utilisateurs dans la base de données de groupes. Dans cet exemple, le serveur LDAP renvoie les utilisateurs uniquement si leur attribut objectClass est défini sur user ( dans les deux figures).
• Filtre d’utilisateurs : si vous souhaitez exclure les utilisateurs qui ne sont pas affectés aux groupes d’utilisateurs synchronisés avec le serveur Tanium, sélectionnez l’une ou les deux options suivantes :
  • Filtrer sur le serveur LDAP (F : Figure 2) : le serveur LDAP renvoie les utilisateurs uniquement s’ils ont une valeur (DN) dans leur attribut d’appartenance au groupe d’utilisateurs (attribut memberOf, dans cet exemple) qui correspond à l’un des groupes de la recherche (). Il convient de sélectionner cette option car le filtrage sur le serveur LDAP est plus rapide et entraîne moins de trafic réseau que le filtrage sur le serveur Tanium. La plupart des serveurs LDAP prennent en charge cette option. Lors de la réception des utilisateurs filtrés, le serveur Tanium les synchronise ().
  • Filtrer sur le serveur Tanium (F : Figure 3) : le serveur LDAP renvoie tous les utilisateurs au serveur Tanium s’ils correspondent au filtre des utilisateurs () ; le serveur  LDAP ne filtre pas par attribut d’appartenance au groupe d’utilisateurs. Le serveur Tanium rejette alors les utilisateurs () si aucun des groupes d’utilisateurs synchronisés ne comporte le DN dans leur Attribut d’appartenance au groupe (attribut member, dans cet exemple). Cette option sert de sauvegarde lorsque le serveur LDAP ne prend pas en charge le filtrage par attribut d’appartenance au groupe d’utilisateurs.

  Après avoir consolidé les doublons dans les utilisateurs et les groupes synchronisés, le serveur Tanium met à jour la base de données Tanium ( dans les deux figures).

La figure suivante illustre le filtrage des utilisateurs sur les serveurs LDAP.

La figure suivante illustre le filtrage des utilisateurs sur les serveurs Tanium.

Avant de commencer

• Le serveur Tanium initie la connexion avec le serveur LDAP pour la synchronisation. Le port standard pour LDAP est 389 (3268 pour un catalogue global AD). Le port standard pour LDAPS est 636 (3269 pour un catalogue global AD). Dans la configuration du serveur LDAP, vous pouvez spécifier n’importe quel port que le serveur LDAP écoute pour son trafic LDAP entrant. Votre administrateur réseau doit configurer la sécurité réseau pour permettre ce trafic.
• Vous devez connaître le nom unique (DN) de base, les identificateurs et les expressions de filtre pour les utilisateurs et les groupes d’utilisateurs que vous souhaitez importer. Les valeurs sont sensibles à la casse.
• Le serveur  LDAP doit autoriser les requêtes en utilisant les expressions de filtre configurées.
• Examinez les Best practices pour les intégrations LDAP pour une intégration à un serveur LDAP.

Configurer un serveur LDAP

1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Authentication (Authentification) > LDAP/AD Sync (Synch. LDAP/AD).
2. Cliquez sur Add Server (Ajouter un serveur) pour créer une nouvelle connexion au serveur LDAP ou cliquez sur Edit (Modifier) dans la mosaïque pour une connexion existante afin de modifier ses paramètres.
3. Configurez les paramètres suivants :

   T :  Tableau 4 : Configuration de serveur LDAP

   Paramètres	Recommandations
   Configuration	Activez ou désactivez la configuration du serveur LDAP en sélectionnant Enable (Activer) ou Disable (Désactiver) respectivement. Après avoir activé la configuration, vous pouvez mettre en pause la synchronisation en sélectionnant Pause (Mettre en pause) sans désactiver complètement la configuration (l’authentification continue de fonctionner), puis reprendre la synchronisation ultérieurement. La synchronisation se produit toutes les cinq minutes pour les configurations activées. Ne désactivez jamais la configuration. Dans ce cas, lors de la synchronisation suivante, le serveur Tanium verrouillera les utilisateurs et supprimera les groupes d’utilisateurs qu’il a importés précédemment. Si vous réactivez la configuration, le serveur Tanium déverrouillera les utilisateurs et ré-ajoutera les groupes d’utilisateurs. Cependant, les groupes d’utilisateurs rajoutés ne disposent ni de RBAC ni de droits de gestion configurés. Notez également que les groupes rajoutés auront de nouveaux identificateurs Tanium, mais utiliseront les mêmes objectGUID LDAP que les groupes supprimés.
   Nom	Saisissez un nom pour identifier ce serveur LDAP.
   Hôte	Nom de domaine pleinement qualifié (FQDN) ou adresse IP du serveur LDAP. Si vous vous connectez à l’aide de LDAPS, la valeur Host (Hôte) doit correspondre à la valeur hostname du certificat du serveur LDAP. Vous devez saisir les adresses IPv6 entre crochets (par ex. : [2001:db8::1]).
   Port	Spécifiez le numéro du port sur lequel votre serveur LDAP écoute son trafic LDAP entrant. Le port standard dépend du protocole : LDAP : le port standard est 389 (3268 pour un catalogue global AD). le serveur LDAP utilise ce port pour les connexions non chiffrées, les connexions utilisant StartTLS et les connexions AD utilisant l’option de signature et de chiffrement. LDAPS : le port standard est 636 (3269 pour un catalogue global AD).
   Recommandations	Sélectionnez cette option pour désactiver les recommandations. si le serveur  LDAP est un serveur Microsoft AD, la désactivation des recommandations est obligatoire.
   Chiffrement	Sélectionnez l’une des options suivantes : Aucun. Ne pas utiliser en production. Signer et chiffrer. Le connecteur LDAP s’allume avec les options de session LDAP_OPT_SIGN et LDAP_OPT_ENCRYPT. La session est cryptée, mais n’utilise pas TLS. Utilisez cette option uniquement pour le serveur Tanium sur Windows et si le serveur LDAP externe est un serveur AD. StartTLS. Le connecteur LDAP appelle ldap_start_tls_s pour configurer une connexion TLS. Vous pouvez utiliser cette option avec le serveur Tanium sur Windows ou l’appliance Tanium. LDAPS. Le connecteur LDAP initie une connexion SSL au serveur LDAPS. Pour configurer LDAPS sur l’appliance, reportez-vous au Guide de déploiement des appliances Tanium : configurer LDAPS.
   NTLM	Utilise NTLM pour la connexion au serveur LDAP. Cette option est activée par défaut. Il convient d’utiliser NTLM lorsque le serveur Tanium est installé sur un serveur Windows et que la connexion est sur un serveur AD. Si vous utilisez NTLM, le compte de service du serveur Tanium est utilisé et vous n’avez pas besoin de configurer un nom d’utilisateur LDAP et un mot de passe LDAP. Le serveur  LDAP doit autoriser ce compte à interroger les expressions de filtre configurées.
   Nom d’utilisateur/Mot de passe LDAP	Si vous ne pouvez pas utiliser NTLM, spécifiez le nom d’utilisateur et le mot de passe du compte de service que le serveur Tanium utilise pour interroger le serveur LDAP. En tant que meilleure pratique, approvisionnez un compte spécial à cette fin avec des permissions faibles mais suffisantes pour interroger le serveur LDAP.
   Synch. des groupes	Activez (Yes (Oui)) ou désactivez (No (Non)) la synchronisation des groupes d’utilisateurs. Si vous activez la fonctionnalité, le serveur Tanium se synchronise avec les groupes sur le serveur LDAP en fonction des paramètres que vous configurez dans la section Groups (Groupes). Si vous désactivez la synchronisation des groupes d’utilisateurs, lors de la prochaine synchronisation, le serveur Tanium supprimera les groupes qu’il a précédemment importés. Si vous réactivez ensuite la synchronisation des groupes, le serveur Tanium rajoute les groupes d’utilisateurs, mais sans attribution de groupe de gestion d’ordinateurs ou RBAC.
   Base de données de groupes	Il s’agit du DN de base pour le conteneur des groupes d’utilisateurs. Le serveur Tanium synchronise les groupes de tous les emplacements sous ce chemin. Exemple : cn=Ops,ou=TaniumAdmins,dc=tam,dc=local Remarque : si la définition de la base de données de groupes ou de la base de données des utilisateurs à la racine d’un domaine génère des erreurs, sélectionnez Disable referrals (Désactiver les recommandations) dans la section Généralités.
   Filtre de groupes	le serveur LDAP utilise ce champ pour filtrer les groupes d’utilisateurs dans la base de données de groupes. Par exemple, si vous saisissez objectClass=group, le serveur LDAP renvoie les groupes uniquement si leur attribut objectClass est défini sur group. Remarque : utilisez la barre oblique inversée (\) pour utiliser des caractères d’échappement spéciaux dans un nom de groupe. Pour Windows, utilisez une barre oblique inversée (exemple : name=\#myGroup). Pour l’appliance (Linux), utilisez deux barres obliques inversées (exemple : name=\\#myGroup).
   ID unique du groupe Propriété	Saisissez l’attribut (comme objetGUID) qui identifie de manière unique chaque groupe d’utilisateurs. Remarque : la valeur est sensible à la casse.
   Propriété Nom de groupe	Saisissez l’attribut (comme cn) qui identifie le nom d’un groupe d’utilisateurs. Remarque : la valeur est sensible à la casse.
   Attribut Appartenance au groupe	Saisissez l’attribut du groupe d’utilisateurs (comme member) qui indique les utilisateurs membres. Remarque : la valeur est sensible à la casse.
   Filtre utilisateurs	si vous souhaitez exclure les utilisateurs qui ne sont pas affectés aux groupes d’utilisateurs synchronisés avec le serveur Tanium, sélectionnez l’une ou les deux options suivantes : Filter on LDAP Server (Filtrer sur le serveur LDAP). Spécifiez un attribut dans la zone de texte User's Group Membership Attribute (Attribut Appartenance au groupe d’utilisateurs). L’attribut LDAP memberOf est le plus couramment utilisé. Vous devez saisir un nom d’attribut et non une expression. Le serveur LDAP renvoie les utilisateurs uniquement s’ils ont une valeur (DN) pour cet attribut qui correspond à l’un des groupes de la recherche. Il convient de sélectionner cette option car le filtrage sur le serveur LDAP est plus rapide et entraîne moins de trafic réseau que le filtrage sur le serveur Tanium. La plupart des serveurs LDAP prennent en charge cette option. Filter on Tanium Server (Filtre sur serveur Tanium). le serveur LDAP renvoie tous les utilisateurs au serveur Tanium s’ils correspondent au filtre des utilisateurs ; le serveur LDAP ne filtre pas par attribut d’appartenance au groupe d’utilisateurs. Le serveur Tanium rejette alors les utilisateurs si aucun des groupes d’utilisateurs synchronisés ne comporte le DN dans leur attribut d’appartenance au groupe. Cette option sert de sauvegarde lorsque le serveur LDAP ne prend pas en charge le filtrage par attribut d’appartenance au groupe d’utilisateurs.
   Domaine utilisateur	Saisissez le domaine que le serveur Tanium utilise pour faire correspondre les utilisateurs dans la base de données Tanium. Spécifiez un nom NetBIOS pour correspondre aux utilisateurs qui se connectent en utilisant le format <domain>\<username> (comme example-corp\user1) ou spécifiez un nom <domain>.<top-level_domain> pour correspondre aux utilisateurs qui se connectent en utilisant le format <username>@<domain.top-level_domain> (comme [email protected]). L’un ou l’autre des formats de nom de domaine correspondent aux utilisateurs qui se connectent en utilisant uniquement leur nom d’utilisateur.
   Synchroniser individuellement les membres du groupe	Par défaut, le serveur LDAP recherche les utilisateurs à synchroniser en fonction de la valeur Users Base (Base de données des utilisateurs). Cependant, si votre mise en œuvre LDAP n’autorise pas un groupe d’utilisateurs de base qui répertorie tous les utilisateurs, sélectionnez Sync group members individually (Synchroniser individuellement les membres du groupe) pour ignorer la recherche dans la base de données des utilisateurs. En revanche, cette option permet au serveur LDAP de rechercher le DN de chaque membre du groupe d’utilisateurs en fonction de l’attribut d’appartenance au groupe. Les utilisateurs doivent toujours correspondre au filtre d’utilisateurs, qui peut exclure les membres du groupe qui sont des ordinateurs ou d’autres groupes. Comparé à une recherche dans la base de données des utilisateurs, une recherche basée sur l’attribut d’appartenance au groupe nécessite plus de traitement et peut prendre beaucoup plus de temps si vous avez de nombreux utilisateurs.
   Base de données des utilisateurs	Il s’agit du DN de base pour le conteneur des utilisateurs. Le serveur Tanium synchronise les utilisateurs de tous les emplacements sous ce chemin. Exemple : cn=Users,dc=tam,dc=local Remarque : si la définition de la base de données de groupes ou de la base de données des utilisateurs à la racine d’un domaine génère des erreurs, sélectionnez Disable referrals (Désactiver les recommandations) dans la section Généralités.
   Filtre utilisateurs	Le serveur LDAP utilise ce champ pour filtrer les utilisateurs dans la base de données de groupes. Par exemple, si vous saisissez objectClass=user, le serveur LDAP renvoie les utilisateurs uniquement si leur attribut objectClass est défini sur user. Pour exclure un compte de la synchronisation, utilisez le filtre suivant, où <account_name> est le nom d’utilisateur : ((&(objectClass=user)(!(sAMAccountName=<account_name>)))) Remarque : si vous ajoutez un serveur LDAP pour le service d’authentification local d’un serveur Tanium fonctionnant sur un appliance Tanium, vous devez utiliser le filtre utilisateur suivant : (&(objectClass=person)(uidNumber>=20000))
   Propriété ID unique de l'utilisateur	Saisissez l’attribut (comme objectGUID) qui identifie de manière unique chaque utilisateur. Remarque : la valeur est sensible à la casse.
   Propriété nom de l'utilisateur	Saisissez l’attribut qui identifie le nom d’un utilisateur. La valeur que le serveur Tanium importe pour ce champ devient le nom d’utilisateur que les utilisateurs saisissent pour se connecter à Tanium Console. Veillez à spécifier l’attribut approprié à cette fin et à communiquer le formulaire prévu à vos utilisateurs. Utilisez sAMAccountName pour les fournisseurs AD et cn pour les autres fournisseurs LDAP. Remarque : la valeur est sensible à la casse.
   Propriété nom affichage utilisateur	Saisissez l’attribut qui identifie le nom d’affichage pour les utilisateurs (généralement displayName).
   Authentification	Sélectionner Use LDAP for user authentication (Utiliser LDAP pour l’authentification utilisateur) pour utiliser le serveur configuré comme source d’authentification. Dans le cas contraire, le serveur Tanium utilisera le serveur LDAP uniquement pour synchroniser les utilisateurs et les groupes. Pour l’authentification, il utilisera toute autre méthode que vous avez configurée (reportez-vous à la section Authentification de l’utilisateur).

4. Cliquez sur Show Preview to Continue (Afficher l’aperçu pour continuer), passez en revue les utilisateurs et les groupes à importer, puis cliquez sur Save (Enregistrer).
   
   
   
   

Cloner un serveur LDAP

Cloner une configuration du serveur  LDAP vous permet d’ajouter rapidement des connexions pour plusieurs domaines.

1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Authentication (Authentification) puis cliquez sur LDAP/AD Sync (Synch. LDAP/AD).
2. Cliquez sur Clone  (Cloner) dans le panneau qui contient le nom du serveur LDAP à cloner.
3. Cliquez sur Edit  (Modifier) dans le panneau pour la configuration clonée.
4. Modifiez les paramètres (ex : User Domain (Domaine utilisateur), le cas échéant, en utilisant les conseils fournis dans le T :  Tableau 4.
5. Cliquez sur Show Preview to Continue (Afficher l’aperçu pour continuer), passez en revue les utilisateurs et les groupes à importer, puis cliquez sur Save (Enregistrer).

Synchroniser manuellement avec un serveur LDAP

Le serveur Tanium est synchronisé automatiquement avec les serveurs LDAP toutes les cinq minutes. Pour que la console Tanium affiche immédiatement les modifications effectuées sur les serveurs  LDAP (comme les mises à jour de l’appartenance au groupe d’utilisateurs), synchronisez manuellement comme suit :

1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Authentication (Authentification) puis cliquez sur LDAP/AD Sync (Synch. LDAP/AD).
2. Cliquez sur Sync Now (Synchroniser maintenant).

Suspendre ou reprendre un serveur LDAP

Si vous mettez à niveau un serveur LDAP ou dépannez des résultats de synchronisation inattendus, vous pouvez interrompre la synchronisation pour un serveur LDAP particulier sans désactiver complètement sa configuration (l’authentification continue de fonctionner). Après avoir terminé la mise à niveau ou le dépannage, vous pouvez reprendre la synchronisation.

1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Authentication (Authentification) puis cliquez sur LDAP/AD Sync (Synch. LDAP/AD).
2. Cliquez sur Edit  (Modifier) dans le panneau du serveur LDAP.
3. Cochez la case Pause (Mettre en pause) pour mettre en pause la synchronisation LDAP ou décochez la case pour reprendre la synchronisation, puis cliquez sur Save (Enregistrer).

Supprimer un serveur LDAP

Lorsque vous supprimez une configuration du serveur LDAP, le serveur Tanium arrête de mettre à jour les utilisateurs et les groupes d’utilisateurs qu’il a importés précédemment à partir de ce serveur LDAP. Lorsque le serveur Tanium effectue la synchronisation pour les serveurs LDAP restants, il supprime les utilisateurs et les groupes associés à la configuration supprimée. Supprimez la configuration comme suit lorsque vous ne souhaitez plus que les informations soient enregistrées sur le serveur Tanium :

1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Authentication (Authentification) puis cliquez sur LDAP/AD Sync (Synch. LDAP/AD).
2. Cliquez sur Delete (Supprimer) dans le panneau pour la configuration du serveur LDAP.

désactiver la configuration d’un serveur LDAP a le même effet que sa suppression. Pour en savoir plus sur la désactivation d’une configuration, reportez-vous à la section Configuration .

Importer ou exporter des configurations de serveurs LDAP

Vous pouvez exporter la configuration du serveur LDAP vers un fichier JSON et importer un fichier JSON ou XML signé sur le même serveur Tanium ou un serveur différent. Vous pouvez, par exemple, partager les informations de connexion lors du dépannage de la requête LDAP avec votre administrateur LDAP.

Export

1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Solutions (Solutions).
2. Faites défiler l’écran jusqu’à la section Content (Contenu) et cliquez sur Export Content (Exporter le contenu).
3. Sélectionnez LDAP Synchronization Connectors (Connecteurs de synchronisation LDAP), sélectionnez la valeur de votre choix dans Export Format (Format d’exportation) (JSON ou XML) et cliquez sur Export (Exporter).
4. Saisissez un File Name (Nom de fichier) ou acceptez le nom par défaut, puis cliquez sur OK (OK).

   Le serveur Tanium exporte le fichier vers le dossier des téléchargements sur le système que vous avez utilisé pour accéder à Tanium Console.

Importer 

Vous pouvez importer des fichiers de contenu au format JSON ou XML.

1. Signez numériquement le fichier de contenu et assurez-vous qu’une clé publique est en place pour valider la signature. Reportez-vous à la section Authentification des fichiers de contenu.
2. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Solutions (Solutions).
3. Faites défiler jusqu’à la section Content (Contenu) et cliquez sur Import Content (Importer le contenu).
4. Cliquez sur Choose File (Choisir un fichier), sélectionnez le fichier de contenu et cliquez sur Open (Ouvrir).
5. Cliquez sur Import (Importer).

   Si les noms d’objet dans le fichier sont les mêmes que pour les objets existants, la console Tanium détaille les conflits et fournit des options de résolution pour chacun d’eux.

6. Sélectionnez les résolutions pour tout conflit. Pour obtenir des conseils, reportez-vous aux sections Conflits et Best practices.
7. Cliquez sur Import (Importer) et cliquez sur Close (Fermer) lorsque l’importation est terminée.

Best practices pour les intégrations LDAP

Lorsque vous passez des utilisateurs créés manuellement aux utilisateurs synchronisés par LDAP, vous pouvez créer par inadvertance plusieurs objets de configuration pour un seul utilisateur réel. Par exemple, supposons que vous utilisiez la console Tanium pour créer manuellement un utilisateur nommé john.doe. Vous pouvez également le synchroniser avec un serveur LDAP qui renvoie le même nom d’utilisateur. Dans ce cas, le serveur Tanium a deux configurations d’utilisateur pour john.doe. Il attribue automatiquement un ID d’objet unique à chacun (ID d’objet 2 et 3, dans cet exemple).

Avant de corriger ces redondances, il est important de comprendre les ramifications d’une suppression d’utilisateurs :

• Si vous supprimez la configuration d’un utilisateur défini localement sur le serveur Tanium, mais que l’utilisateur correspond encore aux filtres définis dans un serveur LDAP, le serveur Tanium conserve une configuration pour cet utilisateur.
• Si vous utilisez la console Tanium pour supprimer un compte d’utilisateur importé depuis un serveur LDAP, cet utilisateur reste supprimé après la prochaine synchronisation.
• Si vous supprimez un utilisateur dans la configuration du serveur LDAP back-end, le serveur Tanium marque cet utilisateur comme verrouillé après la prochaine synchronisation. L’utilisateur ne peut pas se connecter, mais le serveur Tanium ne supprime pas automatiquement le compte d’utilisateur. Toutes les questions et actions planifiées que l’utilisateur a configurées continuent. Cela permet aux autres administrateurs Tanium de recréer les questions et actions planifiées sous un compte d’utilisateur différent, si nécessaire.

Lors de la configuration et de la gestion de l’intégration entre les serveurs Tanium et les serveurs LDAP, il convient d’éviter les problèmes inattendus :

• Lors de la suppression des configurations d’utilisateur pour corriger les redondances, assurez-vous de comprendre l’impact sur les objets de configuration associés, notamment les actions planifiées, les questions enregistrées, les objets Tanium Connect, les plug-ins de solution ou les services de module de solution. Dans la F : Figure 5, les objets créés par john.doe - ID 2 n’appartiennent pas à john.doe - ID 3. Si vous supprimez la configuration john.doe - ID 2, vous devez être prêt à recréer ou à transférer la propriété des objets de configuration qui sont exécutés sous cet ID. Pour plus de détails, reportez-vous à la section Supprimer, annuler la suppression ou verrouiller un utilisateur.
• Sur le serveur LDAP back-end, créez les groupes d’utilisateurs  LDAP qui correspondent aux groupes d’utilisateurs Tanium et créez des comptes pour les utilisateurs qui ont besoin d’accéder au système Tanium.
• Gérez l’accès à Tanium via la configuration du serveur LDAP back-end au lieu de la configuration de la console Tanium front-end. Par exemple, la meilleure façon d’intégrer et de supprimer des utilisateurs consiste à modifier l’appartenance des groupes d’utilisateurs importés.
• Contrôlez l’accès à la configuration du serveur LDAP back-end, afin que les administrateurs  LDAP qui ne connaissent pas votre déploiement Tanium ne puissent pas effectuer de modifications qui pourraient l’affecter.
• Sur le serveur Tanium, maintenez au moins un compte dans la configuration Users (Utilisateurs) que le serveur Tanium n’importe pas à partir d’un serveur LDAP. Attribuez le rôle réservé Administrateur à cet utilisateur local afin que vous puissiez utiliser le compte pour vous connecter à Tanium Console et reconfigurer les connexions du serveur LDAP au cas où elles échoueraient. Certaines organisations disposent de plusieurs utilisateurs Administrateurs en dehors des serveurs LDAP pour cette raison. Pour éviter de créer des configurations utilisateur en double lorsque le nom du compte existe également sur un serveur LDAP, vous pouvez configurer le filtre des utilisateurs dans les serveurs LDAP pour empêcher la synchronisation du compte (voir le T :  Tableau 4).