تنفيذ توفير المستخدم LDAP

قسم إعدادات خدمة الدليل يتيح لك تكوين الإعدادات لمزامنة المستخدمين بين حسابك ونطاقات LDAP، مثل Active Directory (AD).

ملاحظة

ملاحظة: تحتاج إلى وضع عناوين IP لقائمة السماح لتطبيق إدارة كاتو (CMA) وهو مصدر عنوان IP لخدمة كاتو LDAP، انظر استخدام عناوين IP الخاصة بكاتو (يجب أن تكون مسجلاً للدخول لعرض هذا المقال).

سير العمل عالي المستوى لتكوين مجال

هذا هو سير العمل لاستخدام خدمات الدليل لدمج نطاق LDAP مع حساب Cato الخاص بك:

  1. إضافة نطاق إلى CMA

  2. إضافة وحدة تحكم المجال

  3. مزامنة النطاق مع حساب Cato الخاص بك

إضافة مجال إلى CMA

عند إضافة نطاق LDAP إلى حسابك، تحتاج إلى إضافة اتصال خدمة دليل إلى CMA. يحتاج كل نطاق ونطاق فرعي في مؤسستك إلى اتصال منفصل في نافذة إعدادات خدمة الدليل. على سبيل المثال، إذا كان حسابك يحتوي على النطاقات sample.com، alpha.sample.com و example.com، فأنت بحاجة إلى إنشاء ثلاثة اتصالات في إعدادات خدمة الدليل.

بالنسبة للنطاق كلمة المرور، فإن الحد الأقصى لطول كلمة المرور هو 48 حرفًا.

عند إدخال الأسماء المميزة (DNs) للنطاق:

  • يشير DN تسجيل الدخول إلى العنصر في تسلسل دليل LDAP للمدير

  • يشير DN الأساسي إلى العنصر في تسلسل دليل LDAP للمستخدمين والمجموعات التي يقوم المدير بمزامنتها مع Cato

فهم إعدادات مزامنة المستخدمين

يمكن أن تؤدي التغييرات في مستخدمي LDAP على وحدة تحكم النطاق إلى تحفيز عدد كبير من تعديلات المستخدم في CMA. لتقليل خطر الأخطاء، يمكنك اختيار الحد من عدد التغييرات التي تم إجراؤها في كل مزامنة بطرق التالية:

  • منع إزالة أو تعطيل المستخدمين: يمكنك الحد من عدد المستخدمين الذين يتم إزالتهم أو تعطيلهم.

  • منع تحديث عضوية المجموعة: إذا قامت مزامنة LDAP بتغيير عضوية مجموعة المستخدم لأكثر من 1500 مستخدم، فقد يقوم Active Directory الخاص بـ Microsoft بإزالة المستخدمين من المجموعة. لتجنب ذلك، يمكنك تخصيص الحد الأقصى لعدد المستخدمين الذين يمكنهم تغيير عضوية المجموعة في مزامنة واحدة. لمزيد من المعلومات، انظر دليل خدمات الدليل واستكشاف الأخطاء المتعلقة بوعي المستخدم

  • تحديث عناوين البريد الإلكتروني للمستخدمين: يمكنك الحد من عدد عناوين البريد الإلكتروني للمستخدمين التي يتم تحديثها.

إذا تجاوز الحد الأقصى، ستفشل مزامنة LDAP التالية ويتم إنشاء حدث بنوع فرعي خدمات الدليل.

ملاحظة

ملحوظة: إذا تم تعطيل مستخدم ثم إعادة تمكينه في AD الخاص بك، فقد يحتاج إلى إلغاء تثبيت وإعادة تثبيت Cato Client للاتصال بالشبكة.

تغيير المسار إلى مجموعة في وحدة تحكم المجال الخاصة بك

إذا قمت بتغيير المسار إلى مجموعة في وحدة تحكم النطاق، يجب عليك أيضًا تحديث Base DN في CMA.

إذا لم تقم بتحديث CMA إلى المسار الجديد، لن تكون المجموعات التي تم نقلها مشمولة بالمزامنات وتم حذفها. لم تعد هذه المجموعات مرئية في صفحة مجموعات المستخدمين ما زالت مجموعات المستخدمين المحذوفة مرئية في السياسات وتعتبر محذوفة ولا تطبق السياسة على المجموعة. تم إزالة تراخيص SDP من المستخدمين داخل المجموعة الموفَّرة بواسطة LDAP ولا يمكنهم الاتصال بالشبكة. إذا كان المستخدمون بحاجة إلى الاتصال بالشبكة، فمن الضروري إعادة تعيين تراخيص SDP لهم.

إضافة مجال إلى CMA

New_DirectorySevice.png

لإضافة نطاق إلى CMA:

  1. من قائمة التنقل، انقر فوق الوصول > خدمات الدليل.

  2. من قسم LDAP أو التبويب، انقر فوق جديد.

    تفتح لوحة خدمة الدليل الجديدة.

  3. حدد مزود LDAP.

    يمكن تحديد مزود LDAP واحد فقط.

  4. في قسم وصف مصادقة LDAP، قم بتكوين DN تسجيل الدخول:

    • من أجل AD محلي، استخدم اسم الحساب المميز في AD (DN)

    • بالنسبة لـ Azure AD، استخدم اسم حساب المستخدم الرئيسي (UPN)

  5. أدخل DN تسجيل الدخول و DN الأساسي.

  6. أدخل كلمة المرور للمستخدم CN الذي أنشأته لاتصال خدمات الدليل.

  7. بالنسبة للنطاقات LDAP التي تستخدم اتصال SSL، حدد التشفير.

    تمت إضافة النطاق إلى CMA. قم بتكوين وحدات تحكم النطاق للنطاق.

  8. حدد إعدادات مزامنة مستخدم SDP الخاصة بك.

إضافة وحدة تحكم مجال

أضف وحدة تحكم النطاق (DC) المرتبطة بخادم LDAP إلى نطاق خدمات الدليل.

بالنسبة لخوادم LDAP التي تقع خلف موقع، يمكنك إضافة وحدة التحكم باستخدام عنوان IP أو كاستضافة محددة لموقع (الشبكة > المواقع > {site name} > تكوين الموقع > حجز المضيف الثابت).

بالنسبة للخوادم التي تكون خارجية وتستخدم عنوان IP عامًا، يمكنك تعريف DC باستخدام عنوان IP أو النطاق.

السماح لعناوين IP لكاتو

لضمان وصول الحركة إلى خدمات AD الخاصة بك، اسمح لعناوين IP المدرجة في استخدام عناوين IP الخاصة بكاتو (يجب أن تكون مسجلاً للدخول لعرض هذا المقال). حركة المرور من وإلى هذه العناوين IP يتم توجيهها داخل نفق كاتو.

تأكد من تكوين الجدران النارية أو أجهزة التوجيه بشكل صحيح للنشرات التالية:

  • يقع DC وراء موقع IPsec (بدلاً من Socket)

  • لا يتم توجيه كل الحركة إلى Socket

Edit_DC.png

لإضافة وحدة تحكم المجال:

  1. في قائمة التنقل للوحة خدمة الدليل الجديدة، انقر فوق وحدات تحكم المجال.

  2. حدد إعدادات الاتصال إلى DC بناءً على موقعه:

    • بالنسبة لـ DCs على مضيف محدد وراء موقع، حدد مضيف داخلي، ثم اختر المضيف الثابت لخادم LDAP

    • بالنسبة لـ DCs التي تستخدم عنوان IP داخلي، حدد IP داخلي ثم أدخل عنوان IP لـ DC

    • بالنسبة لـ DCs التي ليست خلف موقع، حدد IP خارجي أو نطاق، وأدخل عنوان IP أو النطاق لـ DC

  3. انقر فوق إضافة.

  4. بالنسبة للنشرات التي تحتوي على وحدات تحكم domain متعددة، كرر الخطوات السابقة لإضافة كل وحدة تحكم.

  5. انقر فوق حفظ وإغلاق.

اختبار الاتصال إلى مجال

بعد تعريف النطاق وإضافة وحدة تحكم النطاق، نوصي باختبار الاتصال بين النطاق وCMA.

يتحقق CMA تلقائيًا من الاتصال بجميع وحدات التحكم في النطاق، ويعرض النتائج لكل وحدة تحكم.

إذا كان اختبار الاتصال غير ناجح، راجع دليل استكشاف الأخطاء لخدمات الدليل وأخطاء وعي المستخدم للحصول على توصيات لتحري الخلل وإصلاحه.

لاختبار الاتصال بالنطاق:

  • من عمود الاتصال للنطاق، انقر فوق اختبار الاتصال. يعرض CMA نتائج اختبار الاتصال.

مزامنة المجال مع حساب Cato الخاص بك

بعد إضافة وحدات تحكم النطاق، قم بتكوين الإعدادات التي تحدد كيفية مزامنة المستخدمين في مجموعات LDAP.

  • إذا كنت تستخدم خدمات الدليل وتحتاج إلى تعديل رقم الهاتف المحمول للمستخدم من أجل MFA، قم فقط بتعديل الرقم في دليل LDAP

عرض عام عالي المستوى لإعدادات خدمة الدليل لمجال

  1. حدد مجموعات LDAP التي تتم مزامنتها مع حسابك.

  2. تمكين أو تعطيل المزامنة التلقائية للمستخدمين كل يوم.

  3. حدد السلوك للمستخدمين الذين تم إزالتهم من مجموعة LDAP - لتعطيلهم أو إزالتهم من CMA.

استيراد مجموعات Active Directory

حدد مجموعات LDAP التي سيتم مزامنتها إلى حسابك.

لتحديد مجموعات AD التي يتم استيرادها إلى حسابك:

  1. في لوحة خدمة الدليل الجديدة، انقر فوق مجموعات المستخدمين.

  2. من القائمة المنسدلة تحديد مجموعات المستخدمين، حدد المجموعات التي تقوم بمزامنتها مع حسابك.

    ملحوظة: إذا لم يتم اختيار أي مجموعات، يتم استيراد الدليل النشط بالكامل.

    قم بتكوين إعدادات المزامنة لهذا النطاق (انظر أدناه).

تعيين التراخيص وتطبيق السياسات

بمجرد مزامنة المستخدمين في حسابك، يمكنك تعيين تراخيص SDP لهم وتطبيق السياسات التي يتم تنفيذها أينما يتصل المستخدم. لمزيد من المعلومات حول تعيين تراخيص SDP، انظر تعيين تراخيص ZTNA للمستخدمين.

عرض عام لإعدادات المزامنة

يمكنك تمكين حسابك ليقوم بالمزامنة الأوتوماتيكية يوميًا مع دليل LDAP، وتحديث المجموعات والمستخدمين في CMA لتتوافق مع تلك الموجودة في المجال.

يمكنك رؤية المستخدمين الذين تم استيرادهم وأيهم تم إنشاؤهم يدويًا في عمود اسم الدليل - يظهر المستخدمون المستوردون باسم دليل LDAP وأولئك الذي أنشأوا يدويًا يظهرون كـ يدوي. يمكنك أيضًا التصفية باستخدام اسم الدليل، أو رؤية جميع المستخدمين الذين تمت إضافتهم يدويًا في النظام الخاص بك.

تبدأ Cato المزامنة الأوتوماتيكية اليومية لـ LDAP لجميع الحسابات في الساعة 12:00 صباحًا بتوقيت التوقيت العالمي. تنفذ Cato المزامنة حسابًا واحدًا في كل مرة، وقد يستغرق الأمر عدة ساعات لإكمال المزامنة اليومية لجميع الحسابات. إذا تم تعطيل خيار مزامنة المجموعات المستخدمين اليومية بعد الساعة 12:00 صباحًا، ولكن قبل أن تبدأ Cato المزامنة مع LDAP، عندئذٍ يتم تخطي المزامنة الأوتوماتيكية حتى نافذة الوقت التالية عند تمكين الخيار.

ملاحظة

ملحوظة: بالنسبة للحسابات التي تحتوي على عدة نطاقات، يجب أن تكون إعدادات المزامنة هي نفسها لجميع النطاقات في حسابك. وإلا، قد تكون هناك مشكلات تتعلق بالاعتماد على الثقة المحتملة بين النطاقات المختلفة.

المستخدمون الذين لم يعودوا موجودين في مجموعات خدمة الدليل

تتيح لك إعدادات إذا لم يعد المستخدم موجودًا في المجموعات المستوردة من خدمات الدليل تحديد سلوك المزامنة عند حذف المستخدمين أو المجموعات من خادم LDAP أو بعد انتهاء صلاحيتهم أو تعطيلهم. يمكنك الاختيار من الخيارات التالية:

  • تعطيل - يتم تعطيل المستخدمين ولا يمكنهم الاتصال بـ Cato Cloud. يبقى المستخدم في مجموعات المستخدم التي كانوا أعضاء فيها

  • إزالة - تتم إزالة حسابات المستخدم من CMA، بما في ذلك من مجموعات المستخدمين التي كانوا أعضاء فيها

    عندما تتم إزالة المجموعات أو المستخدمين من خادم LDAP، لكنهم يُستخدمون بواسطة كائن أو قاعدة في CMA، يكون هذا هو سلوك المزامنة:

    • المستخدمون يتم تعطيلهم بدلا من حذفهم

    • المجموعات يتم اعتبارها غير متزامنة

    • يتم تصنيف المجموعات أو المستخدمون كـ يدوي بدلا من LDAP

افتراضيًا، تمنع CMA حذف أو تعطيل أكثر من 100 مستخدم كجزء من مزامنة LDAP. في بداية مزامنة LDAP، إذا كانت المزامنة ستحذف أو تعطل أكثر من 100 مستخدم (بالنسبة للإعداد الافتراضي)، فإن المزامنة تُلغى ويتم إرسال إخطار عبر البريد الإلكتروني. يمكنك تعطيل منع حذف أو تعطيل المستخدمين، أو تغيير العدد الأقصى للمستخدمين المحذوفين لكل مزامنة LDAP.

تكوين إعدادات مزامنة خدمة الدليل

قم بتكوين الإعدادات لمزامنة بين النطاق وحساب Cato الخاص بك. اختر تمكين مزامنة تلقائية يومية والسلوك عند إزالة مستخدم من مجموعة خدمة الدليل.

لتكوين إعدادات المزامنة للنطاق:

  1. إدارة إعدادات المزامنة التلقائية:

    1. في لوحة خدمة الدليل الجديدة، حدد مجموعات المستخدمين.

    2. في قسم مجموعات المستخدمين، حدد لتمكين أو تعطيل مجموعات المستخدمين المزامنة اليومية.

      المفتاح يكون أخضر عندما تكون ممكّنة.

  2. حدد السلوك إذا لم يعد المستخدم موجوداً في مجموعات خدمة الدليل المستوردة في نطاق AD:

    • تعطيل المستخدم في CMA

    • إزالة المستخدم من CMA

  3. (اختياري) قم بتخصيص الإعداد لـ منع حذف أكثر من عدد من المستخدمين أثناء مزامنة LDAP:

    • لتغيير عدد المستخدمين الذين يمكن حذفهم أثناء مزامنة LDAP، في المستخدمين، أدخل الحد الأقصى لعدد المستخدمين المحذوفين.

    • لإزالة الحد من عدد المستخدمين الذين يمكن حذفهم أثناء مزامنة LDAP، قم بتعطيل هذا الإعداد slider_disable.png.

  4. انقر فوق تطبيق ثم انقر فوق حفظ.

    تم إعداد النطاق لمزامنة المستخدمين والمجموعات مع حسابك.

مزامنة خدمات الدليل يدوياً

استخدم ميزة المزامنة الآن لمزامنة المستخدمين والمجموعات يدوياً بين خادم AD و CMA. بالنسبة للحسابات التي تحتوي على عدة مجالات، يقوم CMA بمزامنة جميع المجالات في نفس الوقت بسبب وجود اعتمادات ثقة بينها.

حتى بعد مراجعتك للتغييرات المرشحة والنقر على إرسال، قد لا يتم تطبيق جميع التغييرات المرسلة بالضرورة. يقوم CMA بالتحقق من كل تغيير قبل إنشاء أو تحديث المستخدمين والمجموعات. على سبيل المثال، قد يفشل تغيير إذا كانت هناك مجموعة يدوية تحمل نفس الاسم موجودة بالفعل. يمكنك مراجعة نتائج كل تغيير تم معالجته في صفحة الأحداث.

ملاحظة

ملاحظة: قد يستغرق الأمر بضع دقائق لتحديث صفحة الأحداث مع التغييرات.

لمزامنتة خدمات الدليل يدويًا لجميع المجالات:

  1. من قائمة التنقل انقر فوق الوصول > خدمات الدليل.

  2. في قسم LDAP أو التبويب، انقر فوق المزامنة الآن.

  3. تفتح نافذة مزامنة LDAP اليدوية وتظهر التغييرات المحتملة على المستخدمين والمجموعات. راجع التغييرات واضغط على إرسال.

  4. تظهر صفحة التأكيد أن الطلب تم إرساله وتحتوي على رابط لصفحة الأحداث، مفلترة بالفعل لحدث النظام ذي الصلة والنوع الفرعي.

    • إذا نجحت المزامنة، يتم توليد حدث نظام بالنوع الفرعي LDAP Provisioning مع رسالة مشابهة لـ:

      تم إنشاء المستخدم 'x'

    • إذا فشلت المزامنة، يتم توليد حدث نظام بنفس النوع الفرعي مع رسالة مشابهة لـ:

      فشل في حفظ المستخدم

    • إذا كنت ترغب في البحث مرة أخرى عن التغييرات المحتملة التي قُدمت، ابحث عن أحداث النظام بالنوع الفرعي خدمات الدليل التي تحتوي على رسالة مشابهة لـ:

      تم تقديم 'x' تغيير (تغييرات) محتملة

مثال

في المثال التالي، يمكنك رؤية أنه تم تقديم 3 تغييرات محتملة يدوياً.

submit-ldap-sync.png

تم تقديم التغييرات بنجاح، وعند التحقق من صفحة الأحداث، يمكنك رؤية أن جين فيليبس تم إنشاؤها بنجاح:

ldap-sync-success.png

ومع ذلك، لم يمكن إنشاء جون دو لأن مستخدم منشأ يدوياً بنفس البريد الإلكتروني موجود بالفعل في الحساب.

ldap-sync-failed.png

حذف المجالات ووحدات تحكم المجالات

يمكنك حذف المجالات ووحدات تحكم DC عندما لم تعد هناك حاجة إليها.

ملاحظة

ملاحظة: عند حذف مجال أو وحدة تحكم مجال، لم يعد مستخدموها مرتبطين بالمجال ويتم تصنيفهم كمستخدمين من Cato. إذا أضفت نفس المستخدمين من نفس أو مجال مختلف، فإنهم يتكررون في النظام. مرة كمستخدمين من Cato ومرة تحت المجال.

لحذف نطاق:

  1. من قائمة التنقل انقر فوق الوصول > خدمات الدليل.

  2. في قسم أو تبويب LDAP، في صف المجال انقر Delete.png.

  3. انقر فوق حفظ. تم حذف النطاق من حسابك.

لحذف وحدة تحكم المجال:

  1. من قائمة التنقل انقر فوق الوصول > خدمات الدليل.

  2. في قسم LDAP أو التبويب، قم بتحرير النطاق.

    تفتح لوحة تعديل خدمات الدليل.

  3. في قائمة التنقل للوحة خدمة الدليل الجديدة، انقر فوق وحدات تحكم المجال.

  4. في الصف الذي يحتوي على DC، انقر Delete.png.

  5. انقر على تطبيق ثم انقر على حفظ. تم حذف وحدة التحكم في النطاق من النطاق.

إدارة نطاقات متعددة

إذا كانت مؤسستك تحتوي على أكثر من نطاق واحد، يمكنك تعريف اتصالات خدمة الدليل لكل نطاق. أضف وقم بتكوين النطاقات الجديدة للحساب.

يجب عليك إدخال كلمة المرور لكل نطاق جديد تضيفه إلى الحساب.

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات