Sincronizzazione utenti
Questa attività server sincronizza le informazioni sugli utenti e sui gruppi di utenti da una fonte quale Active Directory, i parametri LDAP, ecc.
Per creare una nuova attività server, fare clic su Attività > Nuova > Attività server o selezionare il tipo di attività desiderata sulla sinistra e fare clic su Nuova > Attività server.
Di base
Nella sezione Di base, inserire le informazioni di base sull’attività, come il Nome e la Descrizione (facoltativa). Fare clic su Seleziona tag per assegnare tag.
Nel menu a discesa Attività, selezionare il tipo di attività che si desidera creare e configurare. Se prima di creare una nuova attività è stato selezionato un tipo di attività specifica, l’Attività è preselezionata in base alla precedente scelta dell’utente. L’Attività (vedere l’elenco di tutte le attività) definisce le impostazioni e il comportamento dell’attività.
È anche possibile selezionare le seguenti impostazioni di attivazione dell’attività:
•Esegui attività subito dopo il termine: selezionare questa opzione per eseguire automaticamente l'attività dopo aver fatto clic su Fine.
•Configura attivazione: selezionare questa opzione per abilitare la sezione Attivazione, dove è possibile configurare le impostazioni dell'attivazione.
Per impostare l'attivazione in un secondo momento, lasciare queste caselle di controllo deselezionate.
Impostazioni
Impostazioni comuni
Nome del gruppo di utenti: per impostazione predefinita, verrà utilizzata la radice degli utenti sincronizzati (posizionata, per impostazione predefinita, nel gruppo Tutti). In alternativa, è possibile creare un nuovo gruppo di utenti.
Gestione collisione creazione utente: potrebbero verificarsi due tipi di conflitti:
•In un gruppo sono presenti due utenti con lo stesso nome.
•È presente un utente esistente con lo stesso SID (in qualsiasi punto del sistema).
È possibile impostare la gestione della collisione su:
•Salta: l'utente non viene aggiunto a ESET PROTECT durante la sincronizzazione con Active Directory.
•Sovrascrivi: l'utente esistente in ESET PROTECT viene sovrascritto dall'utente di Active Directory. In caso di conflitto SID, l'utente esistente in ESET PROTECT viene rimosso dalla posizione precedente (anche se si trovava in un altro gruppo).
Gestione rimozione utente: se un utente non esiste più, è possibile Rimuoverlo o Saltarlo.
Gestione rimozione gruppo utente: se un gruppo di utenti non esiste più, è possibile Rimuoverlo o Saltarlo.
Se per un utente si utilizzano attributi personalizzati, è necessario impostare la Gestione collisione creazione utente su Salta. In caso contrario, l'utente (e i relativi dettagli) sarà sovrascritto con i dati ricavati da Active Directory con la conseguente perdita degli attributi personalizzati. Se si desidera sovrascrivere l'utente, è necessario modificare Gestione rimozione utente in Salta. |
Impostazioni connessione server
•Server - Digitare il nome del server o l'indirizzo IP del controller di dominio.
•Accesso: Digitare il nome utente del domain controller nel seguente formato:
oDOMAIN\username (ESET PROTECT Server in esecuzione su Windows)
ousername@FULL.DOMAIN.NAME o username (ESET PROTECT Server in esecuzione su Linux).
Assicurarsi di digitare il dominio in lettere maiuscole; questo tipo di formattazione è necessaria ai fini di un’autenticazione corretta delle query in un server Active Directory. |
•Password: digitare la password utilizzata per accedere al controller di dominio.
ESET PROTECT Server su Windows utilizza il protocollo crittografato LDAPS (LDAP su SSL) per impostazione predefinita per tutte le connessioni Active Directory (AD). È inoltre possibile configurare LDAPS su ESET PROTECT Virtual Appliance. Per una corretta connessione di AD su LDAPS, configurare le seguenti opzioni: 1.Il domain controller deve aver installato un certificato della macchina. Per rilasciare un certificato per il domain controller, attenersi ai passaggi sottostanti: a)Aprire Gestione server, fare clic su Gestisci > Aggiungi ruoli e funzionalità e installare i Servizi certificati Active Directory > Autorità di certificazione. Verrà creata una nuova autorità di certificazione in Autorità di certificazione radice attendibili. b)Portarsi su Avvio > digitare certmgr.msc e premere Invio per eseguire lo Snap-in di Microsoft Management Console dei certificati > Certificati - Computer locale > Personale > fare clic con il pulsante destro del mouse sul riquadro vuoto > Tutte le attività > Richiedi nuovo certificato > ruolo Registra Domain Controller. c)Verificare che il certificato emesso contenga il FQDN del domain controller. d)Sul server ESMC, importare l'autorità di certificazione generata nell'archivio CERT (utilizzando lo strumento certmgr.msc) nella cartella di autorità di certificazione attendibili.
2.In caso di inserimento delle impostazioni di connessione sul server AD, digitare il FQDN del domain controller (come specificato nel certificato del domain controller) nel campo Server o Host. L'indirizzo IP non è più sufficiente per LDAPS. |
Per attivare il fallback sul protocollo LDAP, selezionare la casella di controllo Utilizza LDAP al posto di Active Directory e inserire gli attributi specifici in base al server. In alternativa, è possibile selezionare Preimpostazioni facendo clic su Seleziona per inserire automaticamente gli attributi:
•Active Directory
•Open Directory Server Mac OS X (nomi host computer)
•OpenLDAP con record computer Samba: configurazione dei parametri Nome DNS in Active Directory.
Impostazioni sincronizzazione
•Nome distinto: percorso (Nome distinto) al nodo nella struttura Active Directory. Se si lascia vuota questa opzione, sarà eseguita la sincronizzazione con l'intera struttura AD. Fare clic su Sfoglia accanto a Nome distinto. Comparirà la struttura Active Directory. Selezionare la voce superiore per sincronizzare tutti i gruppi con ESET PROTECT oppure selezionare esclusivamente i gruppi specifici che si desidera aggiungere. Vengono sincronizzati solo i computer e le unità organizzative. Fare clic su OK al termine dell'operazione.
Determinazione del nome distinto 1.Aprire l’applicazione Utenti e computer di Active Directory. 2.Fare clic su Visualizza e selezionare Funzioni avanzate. 3.Fare clic con il pulsante destro del mouse sul dominio > fare clic su Proprietà > selezionare la scheda Editor attributi. 4.Individuare distinguishedName la riga. L’aspetto dovrebbe essere simile a questo esempio: DC=ncop,DC=local. |
•Attributi utenti e gruppi di utenti: gli attributi predefiniti di un utente sono specifici della directory di appartenenza. Se si desidera sincronizzare gli attributi di Active Directory, selezionare il parametro AD dal menu a discesa nei campi appropriati o inserire un nome personalizzato per l’attributo. Accanto a ciascun campo sincronizzato è presente un segnaposto ESET PROTECT (ad esempio: ${display_name}) che rappresenterà questo attributo in alcune impostazioni dei criteri ESET PROTECT.
•Attributi utenti avanzati: se si desidera utilizzare gli attributi personalizzati avanzati, selezionare Aggiungi nuovo. Questi campi erediteranno le informazioni dell'utente, che può essere gestito in un editor di criteri per iOS MDM come segnaposto.
Se si riceve l'errore: Server not found in Kerberos database dopo aver fatto clic su Sfoglia, usare il nome AD FQDN del server anziché l'indirizzo IP. |
Attivazione
La sezione Attivazione contiene informazioni su una o più attivazioni che consentono di eseguire un'attività. Ciascuna Attività server può avere massimo un'attivazione. Ciascuna attivazione può eseguire solo un'Attività server. Se Configura attivazione non è selezionato nella sezione Di base, non viene creata un'attivazione. È possibile creare un'attività senza attivazione. È possibile eseguire questa attività manualmente in un secondo momento o aggiungere un'attivazione successivamente.
Impostazioni avanzate: limitazione
La limitazione delle richieste consente di impostare regole avanzate per l'attivazione creata. L'impostazione della limitazione delle richieste è facoltativa.
Riepilogo
Tutte le opzioni configurate verranno visualizzate qui. Rivedere le impostazioni e fare clic su Fine.
In Attività è possibile visualizzare la barra dell’indicatore di stato, l'icona dello statoe i dettagli relativi a ciascuna attività creata.