Synchronizácia používateľov
Táto serverová úloha slúži na synchronizáciu informácií o používateľoch a skupinách používateľov zo zdroja, ako napr. Active Directory, LDAP parametre atď.
Ak chcete vytvoriť novú serverovú úlohu, kliknite na Úlohy > Nová > Serverová úloha alebo vyberte požadovaný typ úlohy a kliknite na Nová > Serverová úloha.
Základné
V sekcii Základné vyplňte základné informácie o úlohe, ako napr. Názov a Popis (voliteľné). Kliknite na Vyberte značky pre priradenie značiek.
V roletovom menu Úloha vyberte požadovaný typ úlohy, ktorý chcete vytvoriť a nakonfigurovať. Ak ste pred vytvorením novej úlohy vybrali konkrétny typ úlohy, Úloha je prednastavená na základe vašej predchádzajúcej voľby. Úloha (pozrite si zoznam všetkých úloh) definuje nastavenia a správanie danej úlohy.
Máte tiež na výber z nasledujúcich nastavení spúšťača úlohy:
•Spustiť úlohu okamžite po dokončení – označte túto možnosť, ak chcete úlohu spustiť automaticky hneď po kliknutí na tlačidlo Dokončiť.
•Konfigurovať spúšťač – označte túto možnosť, ak chcete povoliť zobrazenie sekcie Spúšťač, ktorá vám umožňuje upraviť nastavenia spúšťača úlohy.
Túto možnosť ponechajte neoznačenú, ak chcete spúšťač nastaviť neskôr.
Nastavenia
Spoločné nastavenia
Názov skupiny používateľov – predvolene bude použitá koreňová skupina synchronizovaných používateľov (štandardne je to skupina Všetko). Môžete tiež vytvoriť novú skupinu používateľov.
Riešenie kolízií pri vytváraní používateľov – môžu sa vyskytnúť dva typy konfliktov:
•Používatelia s rovnakým menom v tej istej skupine.
•Používateľ s rovnakým SID (kdekoľvek v systéme).
Riešenie kolízii môže byť nastavené na:
•Vynechať – používateľ nie je pridaný do ESET PROTECT počas synchronizácie s Active Directory.
•Prepísať – existujúci používateľ v ESET PROTECT je prepísaný používateľom z Active Directory. V prípade SID konfliktu je existujúci používateľ v ESET PROTECT odstránený z jeho predchádzajúceho umiestnenia (aj v prípade, že používateľ sa nachádzal v inej skupine).
Riešenie zániku používateľov – ak už používateľ neexistuje, môžete ho buď Zmazať, alebo Vynechať.
Riešenie zániku skupín používateľov – ak už skupina používateľov neexistuje, môžete ju buď Zmazať, alebo Vynechať.
Ak pre používateľa použijete vlastné atribúty, nastavte možnosť Riešenie kolízií pri vytváraní používateľov na Vynechať. V opačnom prípade bude používateľ a všetky jeho údaje prepísané údajmi z Active Directory a vlastné atribúty budú stratené. Ak chcete používateľa prepísať, zmeňte možnosť Riešenie zániku používateľov na Vynechať. |
Nastavenia pripojenia servera
•Server – Zadajte názov servera alebo IP adresu svojho doménového radiča.
•Prihlásenie – Zadajte prihlasovacie meno pre váš doménový radič v nasledujúcom formáte:
oDOMAIN\username (ESET PROTECT Server bežiaci na systéme Windows)
ousername@FULL.DOMAIN.NAME alebo username (ESET PROTECT Server bežiaci na systéme Linux)
Doménu zadajte veľkými písmenami – toto formátovanie je potrebné na správne overovanie požiadaviek odosielaných na Active Directory server. |
•Používateľské heslo – zadajte heslo používané na prihlásenie sa do vášho doménového radiča.
ESET PROTECT Server 9.1 na systéme Windows predvolene používa šifrovaný protokol LDAPS (LDAP cez SSL) pre všetky pripojenia Active Directory (AD). LDAPS môžete nastaviť aj na virtuálnom zariadení ESET PROTECT. Na úspešné pripojenie AD cez LDAPS je potrebné vykonať nasledujúcu konfiguráciu: 1.Doménový radič musí mať nainštalovaný certifikát počítača. Vystaviť certifikát pre svoj doménový radič môžete vykonaním nasledujúcich krokov: a)Otvorte Server Manager, kliknite na Manage > Add Roles and Features a nainštalujte Active Directory Certificate Services > Certification Authority. V úložisku Trusted Root Certification Authorities sa vytvorí nová certifikačná autorita. b)Kliknite na Štart > zadajte certmgr.msc a stlačte Enter pre otvorenie Certificates Microsoft Management Console > Certificates – Local Computer > Personal > kliknite pravým tlačidlom na prázdne miesto > All Tasks > Request New Certificate > Enroll Domain Controller. c)Skontrolujte, či vydaný certifikát obsahuje FQDN doménového radiča. d)Medzi dôveryhodné certifikačné autority v úložisku certifikátov na ESET PROTECT serveri importujte pomocou nástroja certmgr.msc vygenerovanú certifikačnú autoritu.
2.V rámci poskytovania nastavení pripojenia AD serveru zadajte FQDN doménového radiča (tak, ako je uvedené v certifikáte doménového radiča) do poľa Server alebo Host. IP adresa už nie je dostačujúca pre LDAPS. |
Ak chcete povoliť protokol LDAP ako rezervu, označte možnosť Použiť LDAP namiesto Active Directory a zadajte atribúty zodpovedajúce vášmu serveru. Môžete tiež prípadne použiť možnosť Predvoľby kliknutím na položku Vybrať a atribúty budú vyplnené automaticky:
•Active Directory
•Open directory Mac OS X Servera (názvy hostiteľských počítačov)
•OpenLDAP so Samba záznamami – nastavenie parametrov – DNS názov v Active Directory.
Nastavenia synchronizácie
•Rozlišujúci názov – cesta k uzlu v stromovej štruktúre Active Directory. Ak ponecháte toto pole prázdne, bude synchronizovaná celá stromová štruktúra AD. Kliknite na možnosť Prechádzať vedľa položky Rozlišujúci názov. Zobrazí sa stromová štruktúra vášho Active Directory. Vyberte hornú položku pre synchronizáciu všetkých skupín s ESET PROTECT alebo vyberte len konkrétne skupiny, ktoré chcete pridať. Synchronizované budú len počítače a organizačné jednotky. Po dokončení úprav kliknite na OK.
Určenie rozlišovacieho názvu 1.Otvorte aplikáciu Active Directory Users and Computers. 2.Kliknite na View a zvoľte Advanced Features. 3.Kliknite pravým tlačidlom myši na doménu, zvoľte možnosť Properties a prejdite na kartu Attribute Editor. 4.Vyhľadajte riadok distinguishedName. Vyzerať by mal ako tento príklad: DC=ncop,DC=local. |
•Atribúty používateľa a skupiny používateľov – predvolené atribúty používateľa sú špecifické pre adresár, do ktorého používateľ patrí. Ak chcete synchronizovať atribúty Active Directory, vyberte AD parameter z roletového menu v príslušných poliach alebo zadajte vlastný názov pre atribút. Vedľa každého synchronizovaného poľa sa nachádza zástupný symbol (napr.: ${display_name}), ktorý bude vyjadrovať daný atribút v určitých nastaveniach týkajúcich sa ESET PROTECT politík.
•Pokročilé atribúty používateľa – ak chcete použiť pokročilé atribúty, kliknite na možnosť Pridať nový. Pre tieto polia budú použité údaje o používateľovi, ktoré môžu byť v editore politík pre iOS MDM uvedené v podobe zástupného symbolu.
Ak sa vám po kliknutí na Browse (Prehľadávať) zobrazí chyba „Server not found in Kerberos database“, namiesto IP adresy použite AD FQDN servera. |
Spúšťač
Sekcia Spúšťač obsahuje informácie o spúšťačoch, ktoré spúšťajú vykonanie danej úlohy. Každá serverová úloha môže mať nastavený len jeden spúšťač. Každý spúšťač môže spúšťať len jednu serverovú úlohu. Pokiaľ v sekcii Základné nie je označená možnosť Konfigurovať spúšťač, zobrazenie sekcie Spúšťač nebude povolené. Úlohu je možné vytvoriť aj bez spúšťača. Takúto úlohu je následne možné spustiť manuálne, prípadne je možné spúšťač pre túto úlohu nastaviť neskôr.
Pokročilé nastavenia – Obmedzovanie
V sekcii Obmedzovanie môžete pre vytvorený spúšťač nastaviť pokročilé pravidlá pre potlačenie aktivácie spúšťača. Nastavenie obmedzovania je voliteľné.
Súhrn
Všetky použité nastavenia sú zobrazené v tejto sekcii. Skontrolujte nastavenia a kliknite na Dokončiť.
Indikátor priebehu, ikonu stavu a podrobnosti pre každú vytvorenú úlohu si môžete pozrieť v sekcii Úlohy.