Režim synchronizácie – Active Directory/Open Directory/LDAP
Ak chcete vytvoriť novú serverovú úlohu, kliknite na Úlohy > Nová > Serverová úloha alebo vyberte požadovaný typ úlohy a kliknite na Nová > Serverová úloha.
Základné
V sekcii Základné vyplňte základné informácie o úlohe, ako napr. Názov a Popis (voliteľné). Kliknite na Vyberte značky pre priradenie značiek.
V roletovom menu Úloha vyberte požadovaný typ úlohy, ktorý chcete vytvoriť a nakonfigurovať. Ak ste pred vytvorením novej úlohy vybrali konkrétny typ úlohy, Úloha je prednastavená na základe vašej predchádzajúcej voľby. Úloha (pozrite si zoznam všetkých úloh) definuje nastavenia a správanie danej úlohy.
Máte tiež na výber z nasledujúcich nastavení spúšťača úlohy:
•Spustiť úlohu okamžite po dokončení – označte túto možnosť, ak chcete úlohu spustiť automaticky hneď po kliknutí na tlačidlo Dokončiť.
•Konfigurovať spúšťač – označte túto možnosť, ak chcete povoliť zobrazenie sekcie Spúšťač, ktorá vám umožňuje upraviť nastavenia spúšťača úlohy.
Túto možnosť ponechajte neoznačenú, ak chcete spúšťač nastaviť neskôr.
Nastavenia
Spoločné nastavenia
Kliknite na možnosť Vybrať vedľa položky Názov statickej skupiny – štandardne bude pre synchronizované počítače použitá domáca skupina vykonávajúceho používateľa. Môžete tiež zvoliť možnosť Nová statická skupina a vytvoriť novú skupinu.
•Objekty k synchronizácii – sú to buď Počítače a skupiny, alebo Iba počítače.
•Akcia pri výskyte kolízie počas vytvárania počítačov – ak synchronizácia pridáva počítače, ktoré sú už členmi danej statickej skupiny, môžete vybrať metódu riešenia konfliktu:
oVynechať (nové počítače nebudú pridané).
oPresunúť (nové počítače budú presunuté do podskupiny)
oDuplikovať (nové počítače budú pridané so zmeneným názvom)
•Akcia pri odstránení počítača – ak počítač už neexistuje, môžete ho buď Zmazať, alebo Vynechať.
•Akcia pri odstránení skupiny – ak skupina už neexistuje, môžete ju Zmazať alebo Vynechať.
Ak pre Akciu pri odstránení skupiny nastavíte možnosť Vynechať a odstránite skupinu (organizačnú jednotku) z Active Directory, počítače patriace do danej skupiny v ESET PROTECT On-Prem nebudú odstránené, a to ani v prípade, že ste pre ne nastavili Akciu pri odstránení počítača na možnosť Zmazať. |
•Režim synchronizácie – Active Directory/Open Directory/LDAP
Viac o správe počítačov v ESET PROTECT On-Prem prostredníctvom synchronizácie Active Directory sa dočítate v našom článku databázy znalostí.
Nastavenia pripojenia servera
•Server – Zadajte názov servera alebo IP adresu svojho doménového radiča.
•Prihlásenie – Zadajte prihlasovacie meno pre váš doménový radič v nasledujúcom formáte:
oDOMAIN\username (ESET PROTECT Server bežiaci na systéme Windows)
ousername@FULL.DOMAIN.NAME alebo username (ESET PROTECT Server bežiaci na systéme Linux)
Doménu zadajte veľkými písmenami – toto formátovanie je potrebné na správne overovanie požiadaviek odosielaných na Active Directory server. |
•Používateľské heslo – zadajte heslo používané na prihlásenie sa do vášho doménového radiča.
ESET PROTECT Server na systéme Windows predvolene používa šifrovaný protokol LDAPS (LDAP cez SSL) pre všetky pripojenia Active Directory (AD). LDAPS môžete nastaviť aj na virtuálnom zariadení ESET PROTECT. Na úspešné pripojenie AD cez LDAPS je potrebné vykonať nasledujúcu konfiguráciu: 1.Doménový radič musí mať nainštalovaný certifikát počítača. Vystaviť certifikát pre svoj doménový radič môžete vykonaním nasledujúcich krokov: a)Otvorte Server Manager, kliknite na Manage > Add Roles and Features a nainštalujte Active Directory Certificate Services > Certification Authority. V úložisku Trusted Root Certification Authorities sa vytvorí nová certifikačná autorita. b)Kliknite na Štart > zadajte certlm.msc a stlačte Enter pre otvorenie Certificates Microsoft Management Console > Certificates – Local Computer > Personal > kliknite pravým tlačidlom na prázdne miesto > All Tasks > Request New Certificate > Enroll Domain Controller. c)Skontrolujte, či vydaný certifikát obsahuje FQDN doménového radiča. d)Medzi dôveryhodné certifikačné autority v úložisku certifikátov na ESET PROTECT serveri importujte pomocou nástroja certlm.msc vygenerovanú certifikačnú autoritu. 2.V rámci poskytovania nastavení pripojenia AD serveru zadajte FQDN doménového radiča (tak, ako je uvedené v certifikáte doménového radiča) do poľa Server alebo Host. IP adresa už nie je dostačujúca pre LDAPS. |
Ak chcete povoliť protokol LDAP ako rezervu, označte možnosť Použiť LDAP namiesto Active Directory a zadajte atribúty zodpovedajúce vášmu serveru. Môžete tiež prípadne použiť možnosť Predvoľby kliknutím na položku Vybrať a atribúty budú vyplnené automaticky:
•Active Directory
•Open directory macOS Servera (názvy hostiteľských počítačov)
•Open directory macOS Servera (IP adresy počítačov)
•OpenLDAP so Samba záznamami – pre nastavenie parametrov DNS názvu v Active Directory.
Ak označíte možnosť Použiť LDAP namiesto Active Directory a vyberiete predvolené nastavenia pre Active Directory, môžete do podrobností o počítači načítať atribúty zo svojej štruktúry Active Directory. Môžu byť použité len atribúty typu DirectoryString. Pre kontrolu atribútov na vašom doménovom radiči môžete použiť nástroj, akým je napríklad ADExplorer. Pozrite si príslušné polia v tabuľke nižšie:
Polia podrobností o počítači |
Polia synchronizačnej úlohy |
---|---|
Názov |
Atribút názvu hostiteľa počítača |
Popis |
Atribút popisu počítača |
Nastavenia synchronizácie
•Rozlišujúci názov – cesta k uzlu v stromovej štruktúre Active Directory. Ak ponecháte toto pole prázdne, bude synchronizovaná celá stromová štruktúra AD. Kliknite na možnosť Prechádzať vedľa položky Rozlišujúci názov. Zobrazí sa stromová štruktúra vášho Active Directory. Vyberte hornú položku pre synchronizáciu všetkých skupín s ESET PROTECT On-Prem alebo vyberte len konkrétne skupiny, ktoré chcete pridať. Synchronizované budú len počítače a organizačné jednotky. Po dokončení úprav kliknite na OK.
Určenie rozlišovacieho názvu 1.Otvorte aplikáciu Active Directory Users and Computers. 2.Kliknite na View a zvoľte Advanced Features. 3.Kliknite pravým tlačidlom myši na doménu, zvoľte možnosť Properties a prejdite na kartu Attribute Editor. 4.Vyhľadajte riadok distinguishedName. Vyzerať by mal ako tento príklad: DC=ncop,DC=local. |
•Vylúčené rozlišujúce názvy – v prípade potreby môžete vylúčiť (ignorovať) určité uzly v stromovej štruktúre Active Directory.
•Ignorovať deaktivované počítače (iba v Active Directory) – počítače, ktoré sú deaktivované v AD, budú pri synchronizácii ignorované (pri vykonaní úlohy budú tieto počítače preskočené).
Ak sa vám po kliknutí na Browse (Prehľadávať) zobrazí chyba „Server not found in Kerberos database“, namiesto IP adresy použite AD FQDN servera. |
Synchronizácia z Linux servera
Spúšťač
Sekcia Spúšťač obsahuje informácie o spúšťačoch, ktoré spúšťajú vykonanie danej úlohy. Každá serverová úloha môže mať nastavený len jeden spúšťač. Každý spúšťač môže spúšťať len jednu serverovú úlohu. Pokiaľ v sekcii Základné nie je označená možnosť Konfigurovať spúšťač, zobrazenie sekcie Spúšťač nebude povolené. Úlohu je možné vytvoriť aj bez spúšťača. Takúto úlohu je následne možné spustiť manuálne, prípadne je možné spúšťač pre túto úlohu nastaviť neskôr.
Pokročilé nastavenia – Obmedzovanie
V sekcii Obmedzovanie môžete pre vytvorený spúšťač nastaviť pokročilé pravidlá pre potlačenie aktivácie spúšťača. Nastavenie obmedzovania je voliteľné.
Súhrn
Všetky použité nastavenia sú zobrazené v tejto sekcii. Skontrolujte nastavenia a kliknite na Dokončiť.
Indikátor priebehu, ikonu stavu a podrobnosti každej vytvorenej úlohy si môžete pozrieť v sekcii Úlohy.
Na nasadenie ESET Management Agenta do počítačov synchronizovaných z Active Directory môžete spustiť serverovú úlohu Nasadenie agentov. |