Pomoc online ESET

Wyszukaj Polski
Wybierz kategorię
Wybierz temat

Synchronizacja użytkowników

To zadanie serwera synchronizuje użytkowników i informacje o grupach użytkowników ze źródła, takiego jak usługa Active Directory, parametry LDAP itd.

Aby utworzyć nowe zadanie serwera, kliknij kolejno opcje Zadania > Nowe > add_new_defaultZadanie serwera lub wybierz żądany typ zadania w widoku drzewa i kliknij kolejno opcje Nowe > add_new_defaultZadanie serwera.

Podstawowe

W sekcji Podstawowe wprowadź podstawowe informacje dotyczące zadania, takie jak nazwa i opis (opcjonalnie). Kliknij opcję Wybierz tagi, aby przypisać tagi.
Z menu rozwijanego Zadanie wybierz typ zadania, które chcesz utworzyć i skonfigurować. Jeśli przed utworzeniem nowego zadania wybrano konkretny typ zadania, opcja w menu Zadanie zostaje wstępnie wybrana na podstawie wcześniejszego wyboru. W polu Zadanie (patrz lista wszystkich zadań) określane są ustawienia zadania i jego zachowanie.

Można też wybrać z poniższych ustawień elementów wyzwalających zadania:

Uruchom zadanie natychmiast po ukończeniu — zaznacz tę opcję, aby uruchomić zadanie automatycznie po kliknięciu przycisku Zakończ.

Skonfiguruj element wyzwalający — zaznacz tę opcję, aby uaktywnić sekcję Element wyzwalający umożliwiającą konfigurowanie ustawień elementu wyzwalającego.

Aby ustawić element wyzwalający później, pozostaw pola wyboru niezaznaczone.

Ustawienia

Typowe ustawienia

Nazwa grupy użytkowników — domyślnie jest używany element główny synchronizowanych użytkowników (domyślnie jest to grupa Wszystkie). Można też utworzyć nową grupę użytkowników.

Obsługa kolizji przy tworzeniu użytkowników — dwa możliwe typy konfliktów:

W tej samej grupie istnieją dwaj użytkownicy o tej samej nazwie.

Istnieje użytkownik z tym samym identyfikatorem SID (w dowolnej części systemu).

Obsługę kolizji można ustawić następująco:

Pomiń — użytkownik nie jest dodawany do programu ESET PROTECT On-Prem podczas synchronizacji z usługą Active Directory.

Zastąp — istniejący użytkownik w programie ESET PROTECT On-Prem zostaje zastąpiony użytkownikiem z usługi Active Directory. W przypadku konfliktu identyfikatorów SID istniejący użytkownik w programie ESET PROTECT On-Prem zostaje usunięty z jego poprzedniej lokalizacji (nawet jeśli użytkownik znajdował się w innej grupie).

Obsługa wygaśnięcia użytkownika — jeśli dany użytkownik już nie istnieje, można użyć w odniesieniu do niego opcji Usuń albo Pomiń.

Obsługa wygaśnięcia grupy użytkowników — jeśli dana grupa użytkowników już nie istnieje, można użyć w odniesieniu do niej opcji Usuń albo Pomiń.


note

Jeśli w przypadku użytkowników stosowane są atrybuty niestandardowe, należy zmienić ustawienie Obsługa kolizji przy tworzeniu użytkowników na Pomiń. W przeciwnym razie użytkownik (i wszystkie szczegóły) zostanie zastąpiony danymi z usługi Active Directory, a atrybuty niestandardowe zostaną utracone. Aby zastąpić użytkownika, należy zmienić ustawienie pozycji Obsługa wygaśnięcia użytkownika na Pomiń.

Ustawienia połączenia z serwerem


note

Jeśli serwer ESET PROTECT działa na komputerze z systemem Windows i jest podpięty do domeny, wymagane jest tylko pole Serwer. Wszystkie inne kroki konfiguracji usługi Active Directory poniżej możesz pominąć. Synchronizacja między wieloma domenami jest możliwa, jeśli domeny nawiązały relacje zaufania.

SerwerWpisz nazwę serwera lub adres IP kontrolera domeny.

Zapisz w dziennikuWprowadź nazwę użytkownika kontrolera domeny w następującym formacie:

oDOMAIN\username (Serwer ESET PROTECT z systemem Windows)

ousername@FULL.DOMAIN.NAME lub username (Serwer ESET PROTECT z systemem Linux).


important

Pamiętaj, by wprowadzić domenę wielkimi literami. Takie formatowanie jest niezbędne do prawidłowego uwierzytelnienia zapytań do serwera Active Directory.

Hasło — wpisz hasło używane do logowania do kontrolera domeny.


important

Serwer ESET PROTECT w systemie Windows używa domyślnie szyfrowanego protokołu LDAPS (LDAP przez SSL) do wszystkich połączeń z usługą Active Directory (AD). Można również skonfigurować LDAPS na urządzeniu wirtualnym ESET PROTECT.

Aby zapewnić sprawne połączenie z usługą AD za pomocą protokołu LDAPS, należy dokonać następującej konfiguracji:

1.Kontroler domeny musi mieć zainstalowany certyfikat komputera. Aby wydać certyfikat dla kontrolera domeny, wykonaj poniższe czynności:

a)Otwórz Menedżer serwera, kliknij kolejno pozycje Zarządzaj > Dodaj role i funkcje, a następnie zainstaluj Usługi certyfikatów Active Directory > Urząd certyfikacji. Nowy urząd certyfikacji zostanie utworzony w zaufanych głównych urzędach certyfikacji.

b)Kliknij powiadomienie (żółty trójkąt) w Menedżerze serwera i wybierz polecenie Konfiguruj usługi certyfikatów w usłudze Active Directory na serwerze docelowym. W obszarze Usługi ról wybierz pozycję Urząd certyfikacji. Kliknij Dalej, aby zakończyć konfigurację.

c)Wybierz Start > wpisz certlm.msc i naciśnij Enter, aby uruchomić przystawkę Certyfikaty w programie Microsoft Management Console. Następnie wybierz pozycję Certyfikaty - komputer lokalny > Osobiste > kliknij puste okienko prawym przyciskiem myszy > Wszystkie zadania > Zażądaj nowego certyfikatu > rola Zarejestruj kontroler domeny.

d)Sprawdź, czy wystawiony certyfikat zawiera FQDN kontrolera domeny.

e)Na serwerze ESET PROTECT zaimportuj wygenerowany urząd certyfikacji do magazynu certyfikatów (za pomocą narzędzia certlm.msc) > Komputer > Lokalna maszyna, folder Zaufane główne urzędy certyfikacji użytkowników głównych.

f)Zrestartuj serwer ESET PROTECT.

2.Podczas podawania ustawień połączenia z serwerem usługi AD wpisz FQDN kontrolera domeny (podany w certyfikacie kontrolera domeny) w polu Serwer lub Host. Adres IP nie jest już wystarczający dla LDAPS.

Aby włączyć powrót do protokołu LDAP, zaznacz pole wyboru Użyj protokołu LDAP zamiast usługi Active Directory i wprowadź odpowiednie atrybuty pasujące do serwera. Możesz też wybrać ustawienia wstępne, klikając pozycję Wybierz — atrybuty zostaną wprowadzone automatycznie:

Usługa Active Directory

Usługa Open Directory serwer macOS (nazwy hostów komputerów)

Oprogramowanie OpenLDAP z rekordami komputerowymi w systemie Samba — konfigurowanie parametrów nazwy DNS w usłudze Active Directory.

Ustawienia synchronizacji

Nazwa wyróżniająca — ścieżka (nazwa wyróżniająca) do węzła w ramach drzewa Active Directory. Pozostawienie tej opcji pustej spowoduje synchronizowanie całego drzewa usługi AD. Kliknij przycisk Przeglądaj obok pozycji Nazwa wyróżniająca. Spowoduje to wyświetlenie drzewa Active Directory. Wybierz najwyższy wpis, aby zsynchronizować wszystkie grupy z programem ESET PROTECT On-Prem, lub wybierz tylko określone grupy, które chcesz dodać. Zsynchronizowane zostaną jedynie komputery i jednostki organizacyjne. Po zakończeniu kliknij przycisk OK.


note

Określanie nazwy wyróżniającej

1.Otwórz aplikację Użytkownicy i komputery usługi Active Directory.

2.Kliknij opcję Widok i wybierz Funkcje zaawansowane.

3.Kliknij prawym przyciskiem myszy domenę > kliknij polecenie Właściwości > wybierz kartę Edytor atrybutów.

4.Znajdź distinguishedName wiersz. Powinno to wyglądać tak: DC=ncop,DC=local.

Grupy użytkowników i atrybuty użytkowników — atrybuty domyślne użytkowników specyficzne dla katalogu, do którego należy użytkownik. Aby zsynchronizować atrybuty usługi Active Directory, należy wybrać parametr AD z menu rozwijanego w odpowiednich polach lub wprowadzić niestandardową nazwę atrybutu. Obok każdego synchronizowanego pola znajduje się element zastępczy ESET PROTECT On-Prem (na przykład: ${display_name}) reprezentujący atrybut w ustawieniach polityki ESET PROTECT On-Prem.


important

W przypadku wystąpienia błędu: Server not found in Kerberos database po kliknięciu opcji Przeglądaj, użyj nazwy FQDN z usługi AD serwera zamiast adresu IP.

Element wyzwalający

Sekcja Element wyzwalający zawiera informacje dotyczące elementów wyzwalających, które służą do uruchamiania zadań. W przypadku każdego zadania serwera można skonfigurować jeden element wyzwalający. Każdy element wyzwalający może obsługiwać tylko jedno zadanie serwera. Jeśli w sekcji Podstawowe nie wybrano opcji Skonfiguruj element wyzwalający, element taki nie zostanie utworzony. Zadanie można utworzyć bez elementu wyzwalającego. Takie zadanie można uruchomić ręcznie lub dodać element wyzwalający później.

Ustawienia zaawansowane — Ograniczanie

Konfigurując ustawienia w sekcji Ograniczanie, można zdefiniować reguły zaawansowane utworzonego elementu wyzwalającego. Skonfigurowanie ograniczania jest opcjonalne.

Podsumowanie

Tutaj wyświetlane są wszystkie skonfigurowane opcje. Sprawdź ustawienia i kliknij przycisk Zakończ.

W obszarze Zadania widoczny jest pasek postępu, ikona stanu i szczegóły każdego utworzonego zadania.