Sincronización de usuarios
Esta tarea del servidor sincroniza la información de los usuarios y los grupos de usuarios desde un origen como Active Directory, parámetros de LDAP, etc.
Para crear una nueva tarea del servidor, haga clic en Tareas > Nuevo > Tarea del servidor o seleccione el tipo de tarea que desee del árbol y haga clic en Nuevo > Tarea del servidor.
Básico
En la sección Básico, introduzca información básica sobre la tarea, como el nombre y la descripción (opcional). Haga clic en Seleccione las etiquetas para asignar etiquetas.
En el menú desplegable Tarea, seleccione el tipo de tarea que desea crear y configurar. Si ha especificado un tipo de tarea específico antes de crear una tarea nueva, la opción de Tarea estará preseleccionada en función de la selección anterior. El apartado Tarea (consulte la lista de todas las tareas) define la configuración y el comportamiento de la tarea.
También puede seleccionar de los siguientes ajustes de activación de la tarea:
•Ejecutar tarea inmediatamente después de finalizar: seleccione esta opción para que la tarea se ejecute automáticamente después de que haga clic en Finalizar.
•Configurar activador- Seleccione esta opción para activar la sección Desencadenador, en la que podrá configurar los ajustes del desencadenador.
Para configurar el desencadenador más tarde, no marque estas casillas.
Configuración
Configuración común
Nombre del grupo de usuarios: de forma predeterminada, se utilizará la raíz para los usuarios sincronizados (de forma predeterminada, la raíz es el grupo Todos). También puede crear un nuevo grupo de usuarios.
Gestión de la colisión de creación de usuarios: pueden darse dos tipos de conflicto:
•Hay dos usuarios con el mismo nombre en el mismo grupo.
•Hay un usuario con el mismo SID (en cualquier parte del sistema).
Puede configurar la gestión de colisiones para:
•Omitir: el usuario no se agrega a ESET PROTECT On-Prem durante la sincronización con Active Directory.
•Sobrescribir: el usuario existente en ESET PROTECT On-Prem se sobrescribe con el usuario de Active Directory. En caso de producirse un conflicto de SID, el usuario existente de ESET PROTECT On-Prem se quita de la ubicación anterior (aunque el usuario estuviese en un grupo diferente).
Gestión de la extinción del usuario: si un usuario ya no existe, puede Quitar u Omitir este usuario.
Gestión de la extinción del grupo de usuarios: si un usuario ya no existe, puede Quitar u Omitir este grupo de usuarios.
Si utiliza atributos personalizados para un usuario, configure Gestión de la colisión de creación de usuarios como Omitir. De lo contrario, el usuario (y todos los detalles) se sobrescribirán con los datos de Active Directory, con lo que se perderán los atributos personalizados. Si desea sobrescribir el usuario, cambie la gestión de la extinción del usuario a Omitir. |
Configuración de conexión del servidor
Si el servidor de ESET PROTECT se ejecuta en un ordenador Windows conectado a un dominio, solo será necesario el campo Servidor. Puede omitir el resto de pasos de configuración de Active Directory a continuación. Se puede llevar a cabo la sincronización entre más dominios si estos dominios han establecido confianza. |
•Servidor - Escriba el nombre de servidor o la dirección IP de su controlador de dominio.
•Iniciar sesión - Escriba el nombre de usuario de su controlador de dominio con el siguiente formato:
oDOMAIN\username (ESET PROTECT Server en ejecución en Windows)
ousername@FULL.DOMAIN.NAME o username (ESET PROTECT Server en ejecución en Linux).
Escriba el dominio en mayúsculas, ya que este formato es necesario para autenticar las consultas correctamente en un servidor de Active Directory. |
•Contraseña: escriba la contraseña que se usa para iniciar sesión en su controlador de dominio.
En Windows, ESET PROTECT utiliza el protocolo cifrado LDAPS (LDAP a través de SSL) de forma predeterminada para todas las conexiones de Active Directory (AD). También puede configurar LDAPS en el dispositivo virtual de ESET PROTECT. Para establecer una conexión con Active Directory a través de LDAPS, realice los siguientes ajustes: 1.El controlador de dominio debe tener instalado un certificado de máquina. Para emitir un certificado para su controlador de dominio, siga los pasos indicados a continuación: a)Abra el Administrador de servidores, haga clic en Administrar > Agregar roles y características e instale la autoridad (Servicios de certificados de Active Directory > Autoridad certificadora). Se creará una nueva autoridad certificadora en Autoridades certificadoras de confianza. b)Haga clic en la notificación (triángulo amarillo) en el Administrador de servidores y configure los servicios de certificados de Active Directory en el servidor de destino. En Servicios de roles, seleccione Autoridad certificadora. Para finalizar la configuración, haga clic en Siguiente. c)Diríjase a Inicio > escriba certlm.msc y pulse Entrar para ejecutar el complemento Certificados Microsoft Management Console > Certificados: ordenador local > Personal > haga clic con el botón derecho del ratón en el panel vacío > Todas las tareas > Solicitar nuevo certificado > rol Inscribir controlador de dominio role. d)Compruebe que el certificado emitido contenga el FQDN del controlador de dominio. e)En el servidor de ESET PROTECT, importe la CA que generó en el almacén de certificados (con la herramienta certlm.msc) > Máquina local > carpeta Autoridades certificadoras raíz de confianza. f)Reinicie el ordenador del servidor ESET PROTECT. 2.Cuando proporcione la configuración de conexión al servidor de Active Directory, escriba el FQDN del controlador de dominio (como se indica en el certificado del controlador de dominio) en el campo Servidor o en el campo Host. La dirección IP ya no es suficiente para LDAPS. |
Si desea activar el uso del protocolo LDAP, marque la casilla de verificación Usar LDAP en lugar de Active Directory e introduzca los atributos específicos que se ajusten a su servidor. También puede seleccionar Preestablecidos haciendo clic en Seleccionar y los atributos se completarán automáticamente:
•Active Directory
•Open Directory para el servidor de macOS (nombres de host del ordenador)
•OpenLDAP con registros informáticos Samba: configuración de los parámetros de nombre de DNS en Active Directory.
Configuración de sincronización
•Nombre distinguido: ruta (nombre distinguido) al nodo del árbol de Active Directory. Si se deja esta opción en blanco, se sincroniza el árbol entero de AD. Haga clic en Examinar junto a Nombre distinguido. Se mostrará su árbol de Active Directory. Seleccione la entrada superior para sincronizar todos los grupos de ESET PROTECT On-Prem o seleccione solo los grupos que quiera agregar. Solo se sincronizan los ordenadores y las unidades organizativas. Haga clic en Aceptar cuando haya terminado.
Determinar el nombre distinguido 1.Abra la aplicación Usuarios y ordenadores de Active Directory. 2.Haga clic en Ver y seleccione Funciones avanzadas. 3.Haga clic con el botón derecho en el dominio > haga clic en Propiedades > seleccione la ficha Editor de atributos. 4.Localice distinguishedName la línea. Debe tener el mismo aspecto que el de este ejemplo: DC=ncop,DC=local. |
•Atributos del usuario y el grupo de usuarios: los atributos predeterminados del usuario son específicos del directorio al que pertenece el usuario. Si desea sincronizar los atributos de Active Directory, seleccione el parámetro de AD en el menú desplegable de los campos correspondientes, o escriba el nombre personalizado del atributo. Junto a cada campo sincronizado hay un marcador de posición de ESET PROTECT On-Prem (por ejemplo: ${display_name}) que representará este atributo en determinados ajustes de la política de ESET PROTECT On-Prem.
Si se muestra el error Server not found in Kerberos database al hacer clic en Examinar, utilice el nombre completo de AD del servidor en lugar de la dirección IP. |
Desencadenador
La sección Desencadenador contiene información sobre los desencadenadores que ejecutan tareas. Cada Tarea del servidor puede tener un desencadenador como máximo. Cada desencadenador puede ejecutar solo una tarea del servidor. Si no se selecciona Configurar activador en la sección Básico, no podrán crearse desencadenadores. Pueden crearse tareas sin desencadenadores. Dichas tareas pueden ejecutarse posteriormente manualmente, o puede agregarse un desencadenador más tarde.
Configuración avanzada: Límites
Al configurar la Aceleración puede definir reglas avanzadas para el desencadenador creado. La configuración de la aceleración es opcional.
Resumen
Todas las opciones configuradas se muestran aquí. Revise la configuración y haga clic en Finalizar.
Puede ver la barra indicadora de progreso, el icono de estado y los detalles de cada tarea creada.