Modalità di sincronizzazione - Active Directory/Open Directory/LDAP
Per creare una nuova attività server, fare clic su Attività > Nuova > Attività server o selezionare il tipo di attività desiderato dalla struttura ad albero e fare clic su Nuova > Attività server.
Di base
Nella sezione Di base, inserire le informazioni di base sull’attività, come il Nome e la Descrizione (facoltativa). Fare clic su Seleziona tag per assegnare tag.
Nel menu a discesa Attività, selezionare il tipo di attività che si desidera creare e configurare. Se prima di creare una nuova attività è stato selezionato un tipo di attività specifica, l’Attività è preselezionata in base alla precedente scelta dell’utente. L’Attività (vedere l’elenco di tutte le attività) definisce le impostazioni e il comportamento dell’attività.
È anche possibile selezionare le seguenti impostazioni di attivazione dell’attività:
•Esegui attività subito dopo il termine: selezionare questa opzione per eseguire automaticamente l'attività dopo aver fatto clic su Fine.
•Configura attivazione: selezionare questa opzione per abilitare la sezione Attivazione, dove è possibile configurare le impostazioni dell'attivazione.
Per impostare l'attivazione in un secondo momento, lasciare queste caselle di controllo deselezionate.
Impostazioni
Impostazioni comuni
Fare clic su Seleziona sotto a Nome gruppo statico: per impostazione predefinita, il gruppo Home dell'utente che effettua l'esecuzione verrà utilizzato per i computer sincronizzati. In alternativa, è possibile creare un Nuovo gruppo statico.
•Oggetto da sincronizzare: Computer e gruppi o Solo computer.
•Gestione collisione creazione computer: se la sincronizzazione aggiunge computer che appartengono già al Gruppo statico, l'utente può selezionare un metodo di risoluzione dei conflitti:
oSalta (i computer sincronizzati non saranno aggiunti)
oSposta (i nuovi computer saranno spostati in un sottogruppo)
oDuplica (il nuovo computer viene creato con il nome modificato)
•Gestione rimozione computer: se un computer non esiste più, è possibile Rimuoverlo o Saltarlo.
•Gestione rimozione gruppo: se un gruppo non esiste più, è possibile Rimuoverlo o Saltarlo.
Se si imposta la Gestione dell’estinzione del gruppo su Ignora e si elimina un gruppo (unità organizzativa) da Active Directory, i computer appartenenti al gruppo in ESET PROTECT On-Prem non verranno eliminati, anche in caso di impostazione della relativa gestione dell’estinzione del computer su Rimuovi. |
•Modalità di sincronizzazione - Active Directory/Open Directory/LDAP
Consultare questo articolo della Knowledge Base sulla gestione dei computer che utilizzano la sincronizzazione Active Directory in ESET PROTECT On-Prem.
Impostazioni connessione server
Se l’applicazione ESET PROTECT Server viene eseguita su una macchina Windows connessa a un dominio, è necessario compilare solo il campo Server. È possibile ignorare tutti gli altri passaggi della configurazione di Active Directory riportati di seguito. La sincronizzazione tra più domini è possibile se è stata stabilita l’attendibilità dei domini. |
•Server - Digitare il nome del server o l'indirizzo IP del controller di dominio.
•Accesso: Digitare il nome utente del domain controller nel seguente formato:
oDOMAIN\username (ESET PROTECT Server in esecuzione su Windows)
ousername@FULL.DOMAIN.NAME o username (ESET PROTECT Server in esecuzione su Linux).
Assicurarsi di digitare il dominio in lettere maiuscole; questo tipo di formattazione è necessaria ai fini di un’autenticazione corretta delle query in un server Active Directory. |
•Password: digitare la password utilizzata per accedere al controller di dominio.
ESET PROTECT Server su Windows utilizza il protocollo crittografato LDAPS (LDAP su SSL) per impostazione predefinita per tutte le connessioni Active Directory (AD). È inoltre possibile configurare LDAPS su ESET PROTECT Virtual Appliance. Per una corretta connessione di AD su LDAPS, configurare le seguenti opzioni: 1.Il domain controller deve aver installato un certificato della macchina. Per rilasciare un certificato per il domain controller, attenersi ai passaggi sottostanti: a)Aprire Gestione server, fare clic su Gestisci > Aggiungi ruoli e funzionalità e installare i Servizi certificati Active Directory > Autorità di certificazione. Verrà creata una nuova autorità di certificazione in Autorità di certificazione radice attendibili. b)Fare clic sulla notifica (triangolo giallo) in Server Manager e su Configura servizi certificati di Active Directory nel server di destinazione. In Servizi ruolo selezionare Autorità di certificazione. Completare la configurazione facendo clic su Avanti. c)Portarsi su Avvio > digitare certlm.msc e premere Invio per eseguire lo Snap-in di Microsoft Management Console dei certificati > Certificati - Computer locale > Personale > fare clic con il pulsante destro del mouse sul riquadro vuoto > Tutte le attività > Richiedi nuovo certificato > ruolo Registra Domain Controller. d)Verificare che il certificato emesso contenga il FQDN del domain controller. e)Su ESET PROTECT Server importare l’autorità di certificazione generata nell’archivio di certificati (utilizzando lo strumento certlm.msc) > Macchina locale > cartella Autorità di certificazione radice attendibili. f)Riavviare il computer su cui è installata l’applicazione ESET PROTECT Server. 2.In caso di inserimento delle impostazioni di connessione sul server AD, digitare il FQDN del domain controller (come specificato nel certificato del domain controller) nel campo Server o Host. L'indirizzo IP non è più sufficiente per LDAPS. |
Per attivare il fallback sul protocollo LDAP, selezionare la casella di controllo Utilizza LDAP al posto di Active Directory e inserire gli attributi specifici in base al server. In alternativa, è possibile selezionare Preimpostazioni facendo clic su Seleziona per inserire automaticamente gli attributi:
•Active Directory
•Open Directory Server macOS (nomi host computer)
•Open Directory server macOS (indirizzi IP computer)
•OpenLDAP con record computer Samba: configurazione dei parametri Nome DNS in Active Directory.
Se si selezionano Utilizza LDAP al posto di Active Directory e la preimpostazione Active Directory, è possibile inserire i dettagli del computer con gli attributi della struttura di Active Directory. È possibile utilizzare solo gli attributi di tipo DirectoryString. È possibile utilizzare uno strumento (ad esempio ADExplorer) per ispezionare gli attributi sul controller di dominio. Cedere i campi corrispondenti nella tabella riportata di seguito:
Campi Dettagli computer |
Campi Attività di sincronizzazione |
---|---|
Nome |
Attributo nome host computer |
Descrizione |
Attributo descrizione computer |
Impostazioni sincronizzazione
•Nome distinto: percorso (Nome distinto) al nodo nella struttura Active Directory. Se si lascia vuota questa opzione, sarà eseguita la sincronizzazione con l'intera struttura AD. Fare clic su Sfoglia accanto a Nome distinto. Comparirà la struttura Active Directory. Selezionare la voce superiore per sincronizzare tutti i gruppi con ESET PROTECT On-Prem oppure selezionare esclusivamente i gruppi specifici che si desidera aggiungere. Vengono sincronizzati solo i computer e le unità organizzative. Fare clic su OK al termine dell'operazione.
Determinazione del nome distinto 1.Aprire l’applicazione Utenti e computer di Active Directory. 2.Fare clic su Visualizza e selezionare Funzioni avanzate. 3.Fare clic con il pulsante destro del mouse sul dominio > fare clic su Proprietà > selezionare la scheda Editor attributi. 4.Individuare distinguishedName la riga. L’aspetto dovrebbe essere simile a questo esempio: DC=ncop,DC=local. |
•Nome/i distinto/i escluso/i: l'utente può scegliere di escludere (ignorare) nodi specifici nella struttura Active Directory.
•Ignora computer disattivati (solo in Active Directory): l'utente può scegliere di ignorare i computer disattivati in Active Directory (l'attività salterà tali computer).
Se si riceve l'errore: Server not found in Kerberos database dopo aver fatto clic su Sfoglia, usare il nome AD FQDN del server anziché l'indirizzo IP. |
Sincronizzazione dal server Linux
Attivazione
La sezione Attivazione contiene informazioni su una o più attivazioni che consentono di eseguire un'attività. Ciascuna Attività server può avere massimo un'attivazione. Ciascuna attivazione può eseguire solo un'Attività server. Se Configura attivazione non è selezionato nella sezione Di base, non viene creata un'attivazione. È possibile creare un'attività senza attivazione. È possibile eseguire questa attività manualmente in un secondo momento o aggiungere un'attivazione successivamente.
Impostazioni avanzate: limitazione
La limitazione delle richieste consente di impostare regole avanzate per l'attivazione creata. L'impostazione della limitazione delle richieste è facoltativa.
Riepilogo
Tutte le opzioni configurate verranno visualizzate qui. Rivedere le impostazioni e fare clic su Fine.
In Attività è possibile visualizzare la barra dell’indicatore di stato, l'icona dello statoe i dettagli relativi a ciascuna attività creata.
È possibile eseguire l’attività “Server di distribuzione dell’agente” per effettuare la distribuzione di ESET Management Agent sui computer sincronizzati da Active Directory. |