LDAP

Owned by Maria Fabiana Izidio de Almeida Maran
fev. 19, 2024
4 min read

LDAP 

Para acessar a configuração do LDAP, basta acessar o menu Configurações do Login, escolher a opção “Autenticação” e acessar a aba “LDAP”.

É preciso marcar o check box “Habilitado”, para as configurações que serão realizadas possam ser utilizadas no processo de login. Habilitando a opção e configurando corretamente, o sistema de login poderá ser realizado utilizando a autenticação do LDAP. 

As configurações do LDAP são divididas em três sessões: “Configurações Básicas”, “Campos do LDAP usados pelo SSO” e “Campos para login automático”

Em “Configurações Básicas”, temos o campo “Urls”, que é usado para inserir uma ou mais urls do LDAP separadas por vírgula. Ex: “ldap://host1, ldap://host2, ldap:// host3”. Essas outras urls servem como segurança, ou seja, caso o primeiro host caia ou não esteja disponível, o segundo entra em ação e assim sucessivamente. Também é possível usar SSL. Para isso, é necessário informar a porta junto ao endereço. Ex: “ldaps://host:636”. Dessa forma, é necessário importar o certificado como trust dentro da keyStore usada pelo servidor, apenas clicando no botão “Importar Certificado”, que aparecerá logo após do campo “Urls” ser preenchido com um host SSL. 

No campo “Base”, preenchemos os objetos DC que representam o topo de uma árvore LDAP que usa o DNS para definir seu namespace. O Active Directory é um exemplo de árvore do LDAP. O designador para um domínio do Active Directory com o nome DNS company com seria dc=Company, dc=com. 

O campo “Usuário ou DN” é usado para preenchimento do nome do usuário ou da DN. Um nome que inclua todo o caminho de um objeto para a raiz do namespace LDAP é chamado de nome distinto ou DN. Um exemplo de DN, para um usuário chamado CSantana, cujo objeto está armazenado no contêiner “cn=Users” em um domínio chamado company.com seria cn=CSantana, cn=Usuários, dc=company, dc=com. 

O campo “Base de pesquisa do usuário” é usado para preenchimento dos objetos da OU que atuam como contêineres que contêm outros objetos. Eles fornecem estrutura para o namespace LDAP. As OUs são o único contêiner de uso geral disponível para administradores no Active Directory. Um nome de OU de exemplo seria ou=Accounting. Esse campo, além de ser usado no momento do login, é usado para importação dos usuários na base. 

O campo “Senha” é usado para o preenchimento da senha do usuário definido no campo “User or DN”.

O campo “Filtro” é usado para o preenchimento do filtro no momento do login e para a busca de usuários na importação de usuários do LDAP. 

Na sessão “Campos do LDAP usados pelo SSO”, temos os campos para o preenchimento. O “Login” é usado para comparação do nome do usuário no momento do login. O campo “Nome”, usado no momento da importação para indicar em que campo do LDAP está o nome do usuário. O campo “E-mail”, usado no momento da importação para indicar em que campo do LDAP está o e-mail do usuário. 

Para configurar os “Campos para login automático”, ainda na aba “LDAP”, é preciso marcar o check box “Autologin habilitado”. Feito isso, novos campos para o preenchimento irão surgir na tela. É importante ressaltar que a data e a hora dos servidores de AD e Aplicação devem estar sincronizados. É imprescindível que este arquivo fique em “[JAVA_HOME]/jre/ldb/.ecurdty” pois o java, por padrão, o procura nesse diretório. 

As opções “Usar Contexto Kerberos” e “KDC Debug” não são obrigatórias, porém, podem ser usadas em alguns contextos específicos. Como exemplo, caso seja necessário fazer alguma análise de falha, selecionar a opção “KDC Debug” pode ajudar. Caso o cliente exija o uso o Kerberos, inclusive como gerenciamento de contexto do LDAP, selecione a opção “Usar Contexto Kerberos”. Vale ressaltar que esse último caso é muito difícil de acontecer. 

O campo “Caminho da configuração do KRB” é usado para configurar o caminho completo o krb5.conf criado automaticamente. 

O campo “Serviço KDC Principal” é usado para configurar o principal criado anteriormente com o comando setspn para referenciar o usuário gerenciador do AD do BPM a um serviço. No caso o serviço é o próprio BPM. 

O “Caminho do Keytab” é o campo destinado a configurar a localização do keytab criado anteriormente. Já o “Campo KDC’ é um campo do AD no qual é referenciado o nome do usuário no formato nome.usuario@ream.usado. Normalmente é usado o valor “userPrincipalName”

Para finalizar a configuração, é necessário clicar em salvar.