Synchronizacja użytkowników
To zadanie serwera synchronizuje użytkowników i informacje o grupach użytkowników ze źródła, takiego jak usługa Active Directory, parametry LDAP itd.
Aby utworzyć nowe zadanie serwera, kliknij kolejno opcje Zadania > Nowe > Zadanie serwera lub wybierz żądany typ zadania i kliknij kolejno opcje Nowe > Zadanie serwera.
Podstawowe
W sekcji Podstawowe wprowadź podstawowe informacje dotyczące zadania, takie jak nazwa i opis (opcjonalnie). Kliknij opcję Wybierz tagi, aby przypisać tagi.
Z menu rozwijanego Zadanie wybierz typ zadania, które chcesz utworzyć i skonfigurować. Jeśli przed utworzeniem nowego zadania wybrano konkretny typ zadania, opcja w menu Zadanie zostaje wstępnie wybrana na podstawie wcześniejszego wyboru. W polu Zadanie (patrz lista wszystkich zadań) określane są ustawienia zadania i jego zachowanie.
Można też wybrać z poniższych ustawień elementów wyzwalających zadania:
•Uruchom zadanie natychmiast po ukończeniu — zaznacz tę opcję, aby uruchomić zadanie automatycznie po kliknięciu przycisku Zakończ.
•Skonfiguruj element wyzwalający — zaznacz tę opcję, aby uaktywnić sekcję Element wyzwalający umożliwiającą konfigurowanie ustawień elementu wyzwalającego.
Aby ustawić element wyzwalający później, pozostaw pola wyboru niezaznaczone.
Ustawienia
Typowe ustawienia
Nazwa grupy użytkowników — domyślnie jest używany element główny synchronizowanych użytkowników (domyślnie jest to grupa Wszystkie). Można też utworzyć nową grupę użytkowników.
Obsługa kolizji przy tworzeniu użytkowników — dwa możliwe typy konfliktów:
•W tej samej grupie istnieją dwaj użytkownicy o tej samej nazwie.
•Istnieje użytkownik z tym samym identyfikatorem SID (w dowolnej części systemu).
Obsługę kolizji można ustawić następująco:
•Pomiń — użytkownik nie jest dodawany do programu ESET PROTECT On-Prem podczas synchronizacji z usługą Active Directory.
•Zastąp — istniejący użytkownik w programie ESET PROTECT On-Prem zostaje zastąpiony użytkownikiem z usługi Active Directory. W przypadku konfliktu identyfikatorów SID istniejący użytkownik w programie ESET PROTECT On-Prem zostaje usunięty z jego poprzedniej lokalizacji (nawet jeśli użytkownik znajdował się w innej grupie).
Obsługa wygaśnięcia użytkownika — jeśli dany użytkownik już nie istnieje, można użyć w odniesieniu do niego opcji Usuń albo Pomiń.
Obsługa wygaśnięcia grupy użytkowników — jeśli dana grupa użytkowników już nie istnieje, można użyć w odniesieniu do niej opcji Usuń albo Pomiń.
Jeśli w przypadku użytkowników stosowane są atrybuty niestandardowe, należy zmienić ustawienie Obsługa kolizji przy tworzeniu użytkowników na Pomiń. W przeciwnym razie użytkownik (i wszystkie szczegóły) zostanie zastąpiony danymi z usługi Active Directory, a atrybuty niestandardowe zostaną utracone. Aby zastąpić użytkownika, należy zmienić ustawienie pozycji Obsługa wygaśnięcia użytkownika na Pomiń. |
Ustawienia połączenia z serwerem
•Serwer — Wpisz nazwę serwera lub adres IP kontrolera domeny.
•Zapisz w dzienniku — Wprowadź nazwę użytkownika kontrolera domeny w następującym formacie:
oDOMAIN\username (Serwer ESET PROTECT z systemem Windows)
ousername@FULL.DOMAIN.NAME lub username (Serwer ESET PROTECT z systemem Linux).
Pamiętaj, by wprowadzić domenę wielkimi literami. Takie formatowanie jest niezbędne do prawidłowego uwierzytelnienia zapytań do serwera Active Directory. |
•Hasło — wpisz hasło używane do logowania do kontrolera domeny.
Serwer ESET PROTECT w systemie Windows używa domyślnie szyfrowanego protokołu LDAPS (LDAP przez SSL) do wszystkich połączeń z usługą Active Directory (AD). Można również skonfigurować LDAPS na urządzeniu wirtualnym ESET PROTECT. Aby zapewnić sprawne połączenie z usługą AD za pomocą protokołu LDAPS, należy dokonać następującej konfiguracji: 1.Kontroler domeny musi mieć zainstalowany certyfikat komputera. Aby wydać certyfikat dla kontrolera domeny, wykonaj poniższe czynności: a)Otwórz Menedżer serwera, kliknij kolejno pozycje Zarządzaj > Dodaj role i funkcje, a następnie zainstaluj Usługi certyfikatów Active Directory > Urząd certyfikacji. Nowy urząd certyfikacji zostanie utworzony w zaufanych głównych urzędach certyfikacji. b)Wybierz Start > wpisz certlm.msc i naciśnij Enter, aby uruchomić przystawkę Certyfikaty w programie Microsoft Management Console. Następnie wybierz pozycję Certyfikaty - komputer lokalny > Osobiste > kliknij puste okienko prawym przyciskiem myszy > Wszystkie zadania > Zażądaj nowego certyfikatu > rola Zarejestruj kontroler domeny. c)Sprawdź, czy wystawiony certyfikat zawiera FQDN kontrolera domeny. d)Na serwerze ESET PROTECT zaimportuj urząd certyfikacji wygenerowany do magazynu certyfikatów (przy użyciu narzędzia certlm.msc) do folderu zaufanych urzędów certyfikacji. 2.Podczas podawania ustawień połączenia z serwerem usługi AD wpisz FQDN kontrolera domeny (podany w certyfikacie kontrolera domeny) w polu Serwer lub Host. Adres IP nie jest już wystarczający dla LDAPS. |
Aby włączyć powrót do protokołu LDAP, zaznacz pole wyboru Użyj protokołu LDAP zamiast usługi Active Directory i wprowadź odpowiednie atrybuty pasujące do serwera. Możesz też wybrać ustawienia wstępne, klikając pozycję Wybierz — atrybuty zostaną wprowadzone automatycznie:
•Usługa Active Directory
•Usługa Open Directory serwer macOS (nazwy hostów komputerów)
•Oprogramowanie OpenLDAP z rekordami komputerowymi w systemie Samba — konfigurowanie parametrów nazwy DNS w usłudze Active Directory.
Ustawienia synchronizacji
•Nazwa wyróżniająca — ścieżka (nazwa wyróżniająca) do węzła w ramach drzewa Active Directory. Pozostawienie tej opcji pustej spowoduje synchronizowanie całego drzewa usługi AD. Kliknij przycisk Przeglądaj obok pozycji Nazwa wyróżniająca. Spowoduje to wyświetlenie drzewa Active Directory. Wybierz najwyższy wpis, aby zsynchronizować wszystkie grupy z programem ESET PROTECT On-Prem, lub wybierz tylko określone grupy, które chcesz dodać. Zsynchronizowane zostaną jedynie komputery i jednostki organizacyjne. Po zakończeniu kliknij przycisk OK.
Określanie nazwy wyróżniającej 1.Otwórz aplikację Użytkownicy i komputery usługi Active Directory. 2.Kliknij opcję Widok i wybierz Funkcje zaawansowane. 3.Kliknij prawym przyciskiem myszy domenę > kliknij polecenie Właściwości > wybierz kartę Edytor atrybutów. 4.Znajdź distinguishedName wiersz. Powinno to wyglądać tak: DC=ncop,DC=local. |
•Grupy użytkowników i atrybuty użytkowników — atrybuty domyślne użytkowników specyficzne dla katalogu, do którego należy użytkownik. Aby zsynchronizować atrybuty usługi Active Directory, należy wybrać parametr AD z menu rozwijanego w odpowiednich polach lub wprowadzić niestandardową nazwę atrybutu. Obok każdego synchronizowanego pola znajduje się element zastępczy ESET PROTECT On-Prem (na przykład: ${display_name}) reprezentujący atrybut w ustawieniach polityki ESET PROTECT On-Prem.
•Zaawansowane atrybuty użytkowników — aby użyć zaawansowanych atrybutów niestandardowych, należy wybrać pozycję Dodaj nowy. Pola te dziedziczą informacje użytkownika, które można uznać w edytorze polityk MDM systemu iOS za tekst zastępczy.
W przypadku wystąpienia błędu: Server not found in Kerberos database po kliknięciu opcji Przeglądaj, użyj nazwy FQDN z usługi AD serwera zamiast adresu IP. |
Element wyzwalający
Sekcja Element wyzwalający zawiera informacje dotyczące elementów wyzwalających, które służą do uruchamiania zadań. W przypadku każdego zadania serwera można skonfigurować jeden element wyzwalający. Każdy element wyzwalający może obsługiwać tylko jedno zadanie serwera. Jeśli w sekcji Podstawowe nie wybrano opcji Skonfiguruj element wyzwalający, element taki nie zostanie utworzony. Zadanie można utworzyć bez elementu wyzwalającego. Takie zadanie można uruchomić ręcznie lub dodać element wyzwalający później.
Ustawienia zaawansowane — Ograniczanie
Konfigurując ustawienia w sekcji Ograniczanie, można zdefiniować reguły zaawansowane utworzonego elementu wyzwalającego. Skonfigurowanie ograniczania jest opcjonalne.
Podsumowanie
Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i kliknij przycisk Zakończ.
W obszarze Zadania widoczny jest pasek postępu, ikona stanu i szczegóły każdego utworzonego zadania.