Mode de synchronisation - Active Directory/Open Directory/LDAP
Pour créer une tâche serveur, cliquez sur Tâches > Nouveau > Tâche serveur ou sélectionnez le type de tâche souhaité dans l'arborescence et cliquez sur Nouveau > Tâche serveur.
General
Dans la section De base, saisissez des informations générales sur la tâche, telles que le nom et la description (facultatif). Cliquez sur Sélectionner les balises pour attribuer des balises.
Dans le menu contextuel Tâche, sélectionnez le type de tâche que vous souhaitez créer et configurer. Si vous avez sélectionné un type de tâche spécifique avant de créer une nouvelle tâche, la tâche est présélectionnée en fonction de votre choix précédent. La tâche (voir la liste de toutes les tâches) définit les paramètres et le comportement de la tâche.
Vous pouvez également sélectionner les paramètres de déclencheur de tâche suivants :
•Exécuter immédiatement la tâche après la fin : sélectionnez cette option pour que la tâche s'exécute automatiquement après que vous ayez cliqué sur Terminer.
•Configurer un déclencheur : sélectionnez cette option pour activer la section Déclencheur dans laquelle vous pouvez configurer des paramètres de déclencheur.
Pour définir le déclencheur ultérieurement, laissez les cases décochées.
Paramètres
Paramètres communs
Cliquez sur Sélectionner sous Nom du groupe statique. Par défaut, le groupe résidentiel de l'utilisateur exécutant est utilisé pour les ordinateurs synchronisés. Vous pouvez également créer un groupe statique.
•Objets à synchroniser : ordinateurs et groupes ou ordinateurs uniquement.
•Gestion des collisions de création d’ordinateur : si la synchronisation ajoute des ordinateurs qui sont déjà membres du groupe statique, vous pouvez choisir une méthode de résolution des conflits :
oIgnorer (les ordinateurs synchronisés ne sont pas ajoutés)
oDéplacer (les nouveaux ordinateurs seront déplacés vers un sous-groupe)
oDupliquer (un nouvel ordinateur est créé avec un autre nom)
•Gestion des extinctions d’ordinateur : si un ordinateur n’existe plus, vous pouvez le supprimer ou l’ignorer.
•Gestion des extinctions de groupe : si un groupe n’existe plus, vous pouvez le supprimer ou l’ignorer.
Si vous définissez la gestion de l'extinction de groupe sur Ignorer et que vous supprimez un groupe (Unité organisationnelle) d'Active Directory, les ordinateurs qui appartenaient au groupe dans ESET PROTECT On-Prem ne seront pas supprimés, même lorsque vous définissez leur gestion de l'extinction de l'ordinateur sur Supprimer. |
•Mode de synchronisation - Active Directory/Open Directory/LDAP
Lisez notre article de la base de connaissances sur la gestion des ordinateurs à l'aide de la synchronisation Active Directory dans ESET PROTECT On-Prem.
Paramètres de connexion au serveur
Si ESET PROTECT Server s'exécute sur une machine Windows connectée à un domaine, seul le champ Serveur est requis. Vous pouvez ignorer toutes les autres étapes de configuration d'Active Directory ci-dessous. La synchronisation entre plusieurs domaines est possible si les domaines se font confiance. |
•Serveur - Saisissez le nom du serveur ou l’adresse IP du contrôleur de domaine.
•Connexion - Tapez le nom d'utilisateur de votre contrôleur de domaine au format suivant :
oDOMAIN\username (ServeurESET PROTECT fonctionnant sous Windows)
ousername@FULL.DOMAIN.NAME ou username (Serveur ESET PROTECT fonctionnant sous Linux).
Assurez-vous de taper le domaine en majuscules; ce formatage est nécessaire pour authentifier correctement les requêtes sur un serveur Active Directory. |
•Mot de passe : saisissez le mot de passe utilisé pour se connecter au contrôleur de domaine.
Le serveur ESET PROTECT sur Windows utilise le protocole de chiffrement LDAPS (LDAP sur SSL) par défaut pour toutes les connexions Active Directory (AD). Vous pouvez également configurer LDAPS sur un périphérique virtuel ESET PROTECT. Pour une connexion AD réussie sur LDAPS, configurez les éléments suivants : 1.Le contrôleur de domaine doit avoir installé un certificat d'ordinateur. Pour émettre un certificat à votre contrôleur de domaine, procédez comment suit : a)Ouvrez le Gestionnaire de serveur, cliquez sur Gérer > Ajouter des rôles et des fonctionnalités et installez les services de certificats Active Directory > Autorité de certification. Une nouvelle autorité de certification sera créée dans Autorités de certification racines de confiance. b)Cliquez sur la notification (triangle jaune) dans le Gestionnaire de serveur et sur Configurer les services de certificats Active Directory sur le serveur de destination. Dans Services de rôle, sélectionnez Autorité de certification. Terminez la configuration en cliquant sur Suivant. c)Accédez à Démarrer > entrez certlm.msc et appuyez sur Entrée pour exécuter les certificats du composant logiciel enfichable Microsoft Management Console > Certificats - Ordinateur local > Personnel > cliquez avec le bouton droit de la souris sur le volet vide > Toutes les tâches > Demander un nouveau certificat > Inscrire le contrôleur de domaine. d)Vérifiez que le certificat émis contient le FQDN du contrôleur de domaine. e)Sur votre serveur ESET PROTECT, importez l'autorité de certification que vous avez générée dans le magasin de certificats (à l'aide de l'outil certlm.msc) > Ordinateur local > dossier Autorités de certification racine approuvées. f)Redémarrez l'ordinateur serveur ESET PROTECT. 2.Lorsque vous fournissez les paramètres de connexion au serveur AD, tapez le FQDN du contrôleur de domaine (comme indiqué dans le certificat du contrôleur de domaine) dans le champ Serveur ou Hôte. L'adresse IP n'est plus suffisante pour LDAPS. |
Pour permettre le retour au protocole LDAP, cochez la case Utiliser LDAP au lieu d'Active Directory et entrez les attributs spécifiques correspondant à votre serveur. Vous pouvez également sélectionner des valeurs prédéfinies en cliquant sur Sélectionner pour que les paramètres soient renseignés automatiquement :
•Active Directory
•macOS Server Open Directory (noms d’hôte d’ordinateurs)
•macOS Server Open Directory (Adresses IP d’ordinateurs)
•OpenLDAP avec les enregistrements d’ordinateur Samba : pour configurer des paramètres de nom DNS dans Active Directory.
Lorsque vous sélectionnez Utiliser LDAP au lieu d’Active Directory, et les préréglages d'Active Directory, il est possible de remplir les détails de l'ordinateur avec des attributs de votre structure Active Directory. Seuls les attributs du type DirectoryString peuvent être utilisés. Vous pouvez utiliser un outil (par exemple ADExplorer) pour inspecter les attributs sur votre contrôleur de domaine. Voir les champs correspondants dans le tableau ci-dessous :
Champs de détails de l'ordinateur |
Champs de tâche de synchronisation |
---|---|
Nom |
Attribut de nom d'hôte de l'ordinateur |
Description |
Attribut de description de l'ordinateur |
Paramètres de synchronisation
•Nom unique : chemin d’accès (nom unique) au nœud dans l’arborescence d’Active Directory. Si ce champ est laissé vide, l’arborescence entière d’Active Directory est synchronisée. Cliquez sur Parcourir à côté de Nom unique. Votre arborescence Active Directory va s'afficher. Sélectionnez l'entrée supérieure pour synchroniser tous les groupes avec ESET PROTECT On-Prem ou ne sélectionnez que des groupes spécifiques à ajouter. Seuls les ordinateurs et les unités d'organisation sont synchronisés. Cliquez sur OK lorsque vous avez terminé.
Déterminer le nom unique 1.Ouvrez l’application Utilisateurs et ordinateurs Active Directory. 2.Cliquez sur Afficher et sélectionnez Fonctionnalités avancées. 3.Cliquez à l’aide du bouton droit de la souris sur le domaine, puis cliquez sur Propriétés > sélectionnez l’onglet Éditeur d’attributs. 4.Recherchez distinguishedName la ligne. Il doit ressembler à l’exemple ci-après DC=ncop,DC=local. |
•Nom(s) unique(s) exclu(s) : vous pouvez choisir d’exclure (ignorer) des nœuds spécifiques dans l’arborescence d’Active Directory.
•Ignorer les ordinateurs désactivés (uniquement dans Active Directory) : vous pouvez choisir d'ignorer les ordinateurs désactivés dans Active Directory, (la tâche ignorera ces ordinateurs).
Si vous obtenez l'erreur Server not found in Kerberos database après avoir cliqué sur Parcourir, utilisez le nom de domaine complet du serveur à la place de l'adresse IP. |
Synchronisation depuis un serveur Linux
Déclencheur
La section Déclencheur contient des informations sur le ou les déclencheurs qui doivent exécuter une tâche. Chaque tâche serveur peut être associée à un déclencheur. Chaque déclencheur ne peut exécuter qu'une seule tâche serveur. Si l'option Configurer un déclencheur n'est pas sélectionnée dans la section Général, un déclencheur n'est pas créé. Une tâche peut être créée sans déclencheur. Dans ce cas, elle est déclenchée manuellement (un déclencheur peut être ajouté par la suite).
Paramètres avancés de la limitation
En définissant une limitation, vous pouvez définir des règles avancées pour le déclencheur créé. La définition d'une limitation est facultative.
Synthèse
Toutes les options configurées sont affichées dans cette section. Examinez les paramètres et cliquez sur Terminer.
Dans Tâches, vous pouvez voir la barre d'indicateur de progression, l'icône d'état et les détails pour chaque tâche créée.
Vous pouvez exécuter la tâche serveur de déploiement de l’agent pour déployer l’agent ESET Management sur les ordinateurs synchronisés à partir d’Active Directory. |