Синхронизация пользователей
Эта серверная задача синхронизирует информацию о пользователях и группах пользователей, которая приходит из таких источников, как Active Directory, параметры LDAP и т. д.
Чтобы создать серверную задачу, выберите Задачи > Создать > Серверная задача или выберите в дереве нужный тип задачи и щелкните Создать > Серверная задача.
Основная информация
В разделе Основное введите основную информацию о задаче, например имя и описание (необязательно). Щелкните Выбрать теги, чтобы назначить теги.
В раскрывающемся меню Задача выберите тип задачи, который требуется создать и настроить. Если вы задали конкретный тип задачи перед созданием задачи, в меню Задача будет установлен тип на основе предыдущего выбора. Задача (см. список всех задач) определяет параметры и поведение для задачи.
Можно также выбрать следующие параметры триггера задачи.
•Запустить задачу сразу после завершения. Выберите этот параметр, чтобы задача запускалась автоматически после нажатия кнопки «Готово».
•Настроить триггер. Выберите этот параметр, чтобы включить раздел Триггер, где можно настроить параметры триггера.
Чтобы задать триггер позже, оставьте эти флажки неустановленными.
Параметры
Общие параметры
Имя группы пользователя — по умолчанию используется корневая группа для синхронизированных пользователей (по умолчанию это группа Все). Или же можно создать группу пользователей.
Обработка конфликтов создания пользователей — могут произойти конфликты двух типов:
•Наличие в одной группе двух пользователей с одинаковым именем.
•Наличие пользователя с таким же идентификатором безопасности (в любой части системы).
Для обработки конфликтов можно установить следующие параметры.
•Пропустить — пользователь не добавляется в ESET PROTECT On-Prem при синхронизации с Active Directory.
•Перезаписать — существующий пользователь в ESET PROTECT On-Prem перезаписывается пользователем из Active Directory. В случае конфликта идентификаторов безопасности существующий пользователь в ESET PROTECT On-Prem удаляется из предыдущего расположения (даже если он принадлежал к другой группе).
Обработка устаревания пользователей. Если пользователь больше не существует, его можно либо удалить, либо пропустить.
Обработка устаревания группы пользователей. Если группа пользователей больше не существует, ее можно либо удалить, либо пропустить.
При использовании настраиваемых атрибутов для пользователя задайте для параметра Действия при конфликтах во время создания пользователей значение Пропустить. В противном случае пользователь (и все сведения) будет перезаписан данными из Active Directory, а настраиваемые атрибуты будут утеряны. Если вы хотите перезаписать пользователя, установите для параметра Обработка устаревания пользователей значение Пропустить. |
Параметры подключения к серверу
Если сервер ESET PROTECT работает на компьютере Windows, который подключен к домену, необходимо только поле Сервер. Все остальные действия по настройке Active Directory, которые описаны ниже, можно пропустить. Синхронизация между несколькими доменами возможна, если между доменами установлено доверие. |
•Сервер - Введите имя сервера или IP-адрес контроллера домена.
•Данные для входа – Введите имя пользователя для контроллера домена в следующем формате:
oDOMAIN\username (сервер ESET PROTECT запущен на компьютере под управлением Windows);
ousername@FULL.DOMAIN.NAME или username (сервер ESET PROTECT запущен на компьютере под управлением Linux).
Обязательно вводите имя домена заглавными буквами; данное форматирование необходимо для надлежащей аутентификации запросов к серверу Active Directory. |
•Пароль: введите пароль для входа на контроллер домена.
Сервер ESET PROTECT в Windows по умолчанию использует зашифрованный протокол LDAPS (LDAP поверх SSL) для всех соединений с Active Directory (AD). Вы также можете сконфигурировать LDAPS на виртуальном устройстве ESET PROTECT. Для успешного подключения к Active Directory по протоколу LDAPS необходимо выполнить перечисленные ниже действия по настройке. 1.На контроллере домена должен быть установлен сертификат компьютера. Чтобы выпустить сертификат для контроллера домена, выполните указанные ниже действия. a)Откройте Диспетчер сервера, последовательно выберите пункты Управление > Добавить роли и компоненты и установите центр сертификации служб сертификации Active Directory. В разделе Доверенные корневые центры сертификации будет создан новый центр сертификации. b)Щелкните уведомление (желтый треугольник) в диспетчере серверов и настройте службы сертификатов Active Directory на целевом сервере. В разделе Службы роли выберите Центр сертификации. Завершите настройку, щелкнув Далее. c)Щелкните Пуск, введите certlm.msc и нажмите клавишу ВВОД, чтобы запустить оснастку MMC Сертификаты, выберите Сертификаты — локальный компьютер > Личные, щелкните правой кнопкой мыши пустую панель и выберите Все задачи > Запросить новый сертификат > Зарегистрировать роль контроллера домена. d)Убедитесь, что выпущенный сертификат содержит FQDN контроллера домена. e)На сервере ESET PROTECT импортируйте созданный центр сертификации в хранилище сертификатов (с помощью средства certlm.msc) > Локальный компьютер > папка Доверенные корневые центры сертификации. f)Перезапустите компьютер с сервером ESET PROTECT. 2.При указании параметров подключения к серверу Active Directory введите FQDN контроллера домена (как оно указано в сертификате контроллера домена) в поле Сервер или Хост. IP-адрес более не является достаточным для LDAPS. |
Чтобы включить откат к протоколу LDAP, установите флажок Использовать LDAP вместо Active Directory и введите атрибуты своего сервера. Можно также выбрать Предустановки, нажав кнопку Выбрать, после чего атрибуты будут заполнены автоматически.
•Active Directory
•macOS Server Open Directory (имена хостов компьютеров)
•Записи компьютеров OpenLDAP с Samba. Настройка параметров DNS-имя в Active Directory.
Параметры синхронизации
•Различающееся имя — Путь (различающееся имя) к узлу в дереве Active Directory. Если оставить этот параметр пустым, будет выполнена синхронизация всего дерева AD. Нажмите кнопку Обзор рядом с различающимся именем. Отобразится ваше дерево Active Directory. Выберите верхнюю запись, чтобы синхронизировать все группы с ESET PROTECT On-Prem, или добавьте только группы, которые вы хотите добавить. Выполняется синхронизация только компьютеров и подразделений. Когда закончите, нажмите кнопку ОК.
Определение различающегося имени 1.Откройте приложение Active Directory Users and Computers. 2.Щелкните Просмотреть и выберите Расширенные функции. 3.Щелкните домен правой кнопкой мыши > щелкните Свойства > выберите вкладку Редактор атрибутов. 4.Найдите distinguishedName строку. Она должна выглядеть, как в этом примере: DC=ncop,DC=local. |
•Группа пользователей и атрибуты пользователя. Атрибуты пользователей по умолчанию характерны для каталога, к которому принадлежит пользователь. Если нужно синхронизировать атрибуты Active Directory, выберите параметр AD в раскрывающемся меню в соответствующих полях или введите настраиваемое имя атрибута. Рядом с каждым синхронизируемым полем находится символ-заполнитель ESET PROTECT On-Prem (например, ${display_name}), который представляет этот атрибут в определенных параметрах политики ESET PROTECT On-Prem.
Если после нажатия кнопки Обзор возникает ошибка Server not found in Kerberos database, используйте полное доменное имя Active Directory вместо IP-адреса. |
Триггер
Раздел Триггер содержит сведения о триггерах, запускающих задачу. Для каждой серверной задачи можно задать не более одного триггера. Каждый триггер может запустить только одну серверную задачу. Если параметр Настроить триггер не выбран в разделе Основная информация, триггер не будет создан. Задачу можно создать без триггера. Такую задачу можно впоследствии запустить вручную или добавить триггер позже.
Дополнительные параметры — регулирование
Параметр Регулирование позволяет задать дополнительные правила для созданного триггера. Настраивать регулирование не обязательно.
Сводка
Все настраиваемые параметры отображаются здесь. Проверьте настройки и нажмите кнопку Завершить.
В задачах отображаются индикатор хода выполнения, значок состояния и сведения о каждой созданной задаче.