Sincronización de usuario

Esta Tarea de servidor sincroniza la información de los usuarios y grupos de usuarios desde una fuente como Active Directory, parámetros LDAP, etc.

Para crear una nueva tarea del servidor, haga clic en Tareas > Nueva > add_new_defaultTarea de servidor o seleccione el tipo de tarea deseada a la izquierda y haga clic en Nueva > add_new_defaultTarea de servidor.

Básica

En la sección Básico, introduzca la información básica sobre la tarea, como Nombre y Descripción (opcional). Haga clic en Seleccionar etiquetas para asignar etiquetas.
En el menú desplegable Tarea, seleccione el tipo de tarea que desea crear y configurar. Si seleccionó un tipo de tarea específico antes de crear una nueva tarea, se preselecciona Tarea en función de la elección anterior que haya hecho. Tarea (vea la lista de Todas las tareas) define las configuraciones y el comportamiento para la tarea.

También puede seleccionar de la siguiente configuración del desencadenador de tareas:

Ejecutar tarea inmediatamente luego de finalizar: seleccione esta opción para que la tarea se ejecute luego de hacer clic en Finalizar.

Configurar desencadenador: seleccione esta opción para habilitar la sección Desencadenador, donde puede configurarlo.

Para configurar el desencadenador más adelante, deje las casillas de verificación sin marcar.

Configuración

Configuraciones comunes

Nombre del grupo de usuarios: de forma predeterminada, se usará la raíz para usuarios sincronizados (por defecto, es el grupo Todos). Alternativamente, puede crear un nuevo grupo de usuarios.

Manejar la colisión en la creación de usuarios: se pueden generar dos tipos de conflictos:

Hay dos usuarios con el mismo nombre en el mismo grupo.

Hay un usuario con el mismo SID (en cualquier lugar del sistema).

Puede establecer el manejo de colisión en:

Omitir: el usuario no se agrega a ESET PROTECT durante la sincronización con Active Directory.

Sobrescribir: se sobrescribe el usuario existente en ESET PROTECT con el usuario de Active Directory; en caso de un conflicto SID, el usuario existente en ESET PROTECT es eliminado de su ubicación anterior (incluso si el usuario se encontraba en un grupo diferente).

Manejo de extinción de usuario: si un usuario ya no existe, puede Eliminarlo o Omitirlo.

Manejo de extinción de grupo de usuarios: si un grupo de usuarios ya no existe, puede Eliminarlo o Omitirlo.

note

Si usa atributos personalizados para un usuario, establezca el Manejo de colisión de creación de usuarios a Omitir. En caso contrario, el usuario (y sus detalles) se sobrescribirá con los datos de Active Directory y perderá los atributos personalizados. Si desea sobrescribir el usuario, cambie el Manejo de extinciones de usuarios a Omitir.

Configuración de conexión del servidor

Servidor - Ingrese el nombre del servidor o la dirección IP de su controlador de dominio.

Iniciar sesión - Ingrese el nombre de usuario para su controlador de dominio con el siguiente formato:

oServidor de DOMAIN\username (ESET PROTECT ejecutándose en Windows)

oServidor de username@FULL.DOMAIN.NAME o username (ESET PROTECT ejecutándose en Linux).

important

Asegúrese de escribir el dominio en letras mayúsculas, ya que es el formato requerido para autenticar consultas correctamente en un servidor de Active Directory.

Contraseña: ingrese la contraseña usada para ingresar al controlador de dominio.

important

El servidor de ESET PROTECT 9.0 en Windows usa el protocolo de cifrado LDAPS (LDAP por sobre SSL) de manera predeterminada para todas las conexiones de Active Directory (AD). También puede configurar LDAPS en el aparato virtual de ESET PROTECT.

Si realizó una actualización de las versiones 7.0 a 7.1 en una máquina de Windows a ESET PROTECT 9.0 y estaba usando la sincronización de Active Directory, las tareas de sincronización fallarán en ESET PROTECT 9.0.

Para realizar correctamente una conexión de AD a través de LDAPS, configure lo siguiente:

1.El controlador de dominio debe tener instalado un certificado de la máquina. Para emitir un certificado para su controlador de dominio, siga los pasos indicados a continuación:

a)Abra el Administrador de servidores y haga clic en Administrar > Agregar roles y características, e instale Servicios certificados de Active Directory > Autoridad de certificación. Se creará una nueva autoridad de certificación en Autoridades de certificación raíz de confianza.

b)Diríjase a Iniciar >tipo certmgr.msc y presione Aceptar para ejecutar la extensión Certificados Consola de administración de Microsoft > Certificados - Equipo local > Personal > haga clic con el botón secundario en el panel vacío > Todas las tareas > Solicitar un nuevo certificado > rol Inscribir controlador de dominio.

c)Compruebe que el certificado emitido contenga la FQDN del controlador de dominio.

d)En su servidor ESMC, importe la CA que generó a la tienda de cert. (usando la herramienta certmgr.msc) a la carpeta CA de confianza.

 

2.Cuando proporcione la configuración de conexión al servidor de AD, escriba el FQDN del controlador de dominio (como se indica en el certificado del controlador de dominio) en el campo Servidor o Host. La dirección IP ya no es suficiente para LDAPS.

Para habilitar la reserva al protocolo LDAP, seleccione la casilla de verificación Usar LDAP en lugar de Active Directory e introduzca los atributos específicos que se ajusten con su servidor. De manera alternativa, puede seleccionar Valores predeterminados al hacer clic en Seleccionar y los atributos se completarán automáticamente:

Active Directory

Mac OS X Server Open Directory (Nombres de host del equipo)

OpenLDAP con registros del equipo Samba: configura los parámetros del nombre DNS en Active Directory.

 

Configuración de sincronización

Nombre distinguido: ruta (nombre distinguido) al nodo en el árbol de Active Directory. Dejar esta opción vacía sincronizará el árbol del AD completo. Haga clic en Navegar junto a Nombre distinguido. Aparecerá el árbol de Active Directory. Seleccione la entrada superior para sincronizar todos los grupos con ESET PROTECT o seleccione solo los grupos específicos que desea agregar. Solo se sincronizan los equipos y las unidades organizativas. Haga clic en Aceptar cuando haya finalizado.

Grupo de usuarios y atributos de usuarios: los atributos predeterminados de un usuario son específicos al directorio al que pertenece el usuario. Si desea sincronizar los atributos de Active Directory, seleccione el parámetro AD del menú plegable en los campos adecuados o ingrese un nombre personalizado para el atributo. Junto a cada campo sincronizado se encuentra un marcador de ESET PROTECT (por ejemplo: ${display_name}) que representa a este atributo en ciertas configuraciones de la política de ESET PROTECT.

Atributos de usuarios avanzados: si desea usar atributos personalizados avanzados, seleccione Agregar nuevo. Estos campos heredarán la información del usuario, que se puede abordar en un editor de política para MDM de iOS como marcador.

important

Si recibe un error: Server not found in Kerberos database luego de hacer click en Navegar, use AD FQDN del servidor en lugar de la dirección IP.

Desencadenador

La sección Desencadenador contiene información sobre los desencadenadores que ejecutarán una tarea. Cada Tarea del servidor puede tener hasta un desencadenador. Cada desencadenador solo puede ejecutar una Tarea del servidor. Si no se selecciona Configurar desencadenador en la sección Básico, no se crea un desencadenador. Se puede crear una tarea sin un desencadenador. Dicha tarea se puede ejecutar manualmente o se puede agregar un desencadenador en otro momento.

Configuración avanzada: Umbral

Al configurar un límite, puede establecer reglas avanzadas para el desencadenador creado. Establecer un límite es opcional.

Resumen

Todas las opciones configuradas se visualizan aquí. Revise la configuración y haga clic Finalizar.

En Tareas, puede ver la barra indicadora de progreso, el ícono de estado y los detalles de cada una de las tareas creadas.