تنفيذ توفير المستخدم LDAP

قسم إعدادات خدمة الدليل يتيح لك تكوين الإعدادات لمزامنة المستخدمين بين حسابك ونطاقات LDAP، مثل Active Directory (AD).

ملاحظة

ملاحظة: تحتاج إلى وضع عناوين IP لقائمة السماح لتطبيق إدارة كاتو (CMA) وهو مصدر عنوان IP لخدمة كاتو LDAP، انظر استخدام عناوين IP الخاصة بكاتو (يجب أن تكون مسجلاً للدخول لعرض هذا المقال).

مخطط سير عمل عالي المستوى لتكوين مجال

هذا هو سير العمل لاستخدام خدمات الدليل لدمج نطاق LDAP مع حساب Cato الخاص بك:

  1. إضافة نطاق إلى CMA

  2. إضافة وحدة تحكم المجال

  3. مزامنة النطاق مع حساب Cato الخاص بك

إضافة مجال إلى CMA

عند إضافة نطاق LDAP إلى حسابك، تحتاج إلى إضافة اتصال خدمة دليل إلى CMA. يحتاج كل نطاق ونطاق فرعي في مؤسستك إلى اتصال منفصل في نافذة إعدادات خدمة الدليل. على سبيل المثال، إذا كان حسابك يحتوي على النطاقات sample.com، alpha.sample.com و example.com، فأنت بحاجة إلى إنشاء ثلاثة اتصالات في إعدادات خدمة الدليل.

بالنسبة للنطاق كلمة المرور، فإن الحد الأقصى لطول كلمة المرور هو 48 حرفًا.

عند إدخال الأسماء المميزة (DNs) للنطاق:

  • يشير DN تسجيل الدخول إلى العنصر في تسلسل دليل LDAP للمدير

  • يشير DN الأساسي إلى العنصر في تسلسل دليل LDAP للمستخدمين والمجموعات التي يقوم المدير بمزامنتها مع Cato

فهم إعدادات مزامنة المستخدم

يمكن أن تؤدي التغييرات في مستخدمي LDAP على وحدة تحكم النطاق إلى تحفيز عدد كبير من تعديلات المستخدم في CMA. لتقليل خطر الأخطاء، يمكنك اختيار الحد من عدد التغييرات التي تم إجراؤها في كل مزامنة بطرق التالية:

  • منع إزالة أو تعطيل المستخدمين: يمكنك الحد من عدد المستخدمين الذين يتم إزالتهم أو تعطيلهم.

  • منع تحديث عضوية المجموعة: إذا قامت مزامنة LDAP بتغيير عضوية مجموعة المستخدم لأكثر من 1500 مستخدم، فقد يقوم Active Directory الخاص بـ Microsoft بإزالة المستخدمين من المجموعة. لتجنب ذلك، يمكنك تخصيص الحد الأقصى لعدد المستخدمين الذين يمكنهم تغيير عضوية المجموعة في مزامنة واحدة. لمزيد من المعلومات، انظر دليل خدمات الدليل واستكشاف الأخطاء المتعلقة بوعي المستخدم

  • تحديث عناوين البريد الإلكتروني للمستخدمين: يمكنك الحد من عدد عناوين البريد الإلكتروني للمستخدمين التي يتم تحديثها.

إذا تجاوز الحد الأقصى، ستفشل مزامنة LDAP التالية ويتم إنشاء حدث بنوع فرعي خدمات الدليل.

ملاحظة

ملحوظة: إذا تم تعطيل مستخدم ثم إعادة تمكينه في AD الخاص بك، فقد يحتاج إلى إلغاء تثبيت وإعادة تثبيت Cato Client للاتصال بالشبكة.

تغيير المسار إلى مجموعة في وحدة التحكم بالمجال

إذا قمت بتغيير المسار إلى مجموعة في وحدة تحكم النطاق، يجب عليك أيضًا تحديث Base DN في CMA.

إذا لم تقم بتحديث CMA إلى المسار الجديد، لن تكون المجموعات التي تم نقلها مشمولة بالمزامنات وتم حذفها. لم تعد هذه المجموعات مرئية في صفحة مجموعات المستخدمين ما زالت مجموعات المستخدمين المحذوفة مرئية في السياسات وتعتبر محذوفة ولا تطبق السياسة على المجموعة. تم إزالة تراخيص SDP من المستخدمين داخل المجموعة الموفَّرة بواسطة LDAP ولا يمكنهم الاتصال بالشبكة. إذا كان المستخدمون بحاجة إلى الاتصال بالشبكة، فمن الضروري إعادة تعيين تراخيص SDP لهم.

إضافة مجال إلى CMA

New_DirectorySevice.png

لإضافة نطاق إلى CMA:

  1. من قائمة التنقل، انقر فوق الوصول > خدمات الدليل.

  2. من قسم LDAP أو التبويب، انقر فوق جديد.

    تفتح لوحة خدمة الدليل الجديدة.

  3. حدد مزود LDAP.

    يمكن تحديد مزود LDAP واحد فقط.

  4. في قسم وصف مصادقة LDAP، قم بتكوين DN تسجيل الدخول:

    • من أجل AD محلي، استخدم اسم الحساب المميز في AD (DN)

    • بالنسبة لـ Azure AD، استخدم اسم حساب المستخدم الرئيسي (UPN)

  5. أدخل DN تسجيل الدخول و DN الأساسي.

  6. أدخل كلمة المرور للمستخدم CN الذي أنشأته لاتصال خدمات الدليل.

  7. بالنسبة للنطاقات LDAP التي تستخدم اتصال SSL، حدد التشفير.

    تمت إضافة النطاق إلى CMA. قم بتكوين وحدات تحكم النطاق للنطاق.

  8. حدد إعدادات مزامنة مستخدم SDP الخاصة بك.

إضافة وحدة تحكم مجال

أضف وحدة تحكم النطاق (DC) المرتبطة بخادم LDAP إلى نطاق خدمات الدليل.

بالنسبة لخوادم LDAP التي تقع خلف موقع، يمكنك إضافة وحدة التحكم باستخدام عنوان IP أو كاستضافة محددة لموقع (الشبكة > المواقع > {site name} > تكوين الموقع > حجز المضيف الثابت).

بالنسبة للخوادم التي تكون خارجية وتستخدم عنوان IP عامًا، يمكنك تعريف DC باستخدام عنوان IP أو النطاق.

السماح لعناوين IP لكاتو

لضمان وصول الحركة إلى خدمات AD الخاصة بك، اسمح لعناوين IP المدرجة في استخدام عناوين IP الخاصة بكاتو (يجب أن تكون مسجلاً للدخول لعرض هذا المقال). حركة المرور من وإلى هذه العناوين IP يتم توجيهها داخل نفق كاتو.

تأكد من تكوين الجدران النارية أو أجهزة التوجيه بشكل صحيح للنشرات التالية:

  • يقع DC وراء موقع IPsec (بدلاً من Socket)

  • لا يتم توجيه كل الحركة إلى Socket

Edit_DC.png

لإضافة وحدة تحكم المجال:

  1. في قائمة التنقل للوحة خدمة الدليل الجديدة، انقر فوق وحدات تحكم المجال.

  2. حدد إعدادات الاتصال إلى DC بناءً على موقعه:

    • بالنسبة لـ DCs على مضيف محدد وراء موقع، حدد مضيف داخلي، ثم اختر المضيف الثابت لخادم LDAP

    • بالنسبة لـ DCs التي تستخدم عنوان IP داخلي، حدد IP داخلي ثم أدخل عنوان IP لـ DC

    • بالنسبة لـ DCs التي ليست خلف موقع، حدد IP خارجي أو نطاق، وأدخل عنوان IP أو النطاق لـ DC

  3. انقر فوق إضافة.

  4. بالنسبة للنشرات التي تحتوي على وحدات تحكم domain متعددة، كرر الخطوات السابقة لإضافة كل وحدة تحكم.

  5. انقر فوق حفظ وإغلاق.

اختبار الاتصال بمجال

بعد تعريف النطاق وإضافة وحدة تحكم النطاق، نوصي باختبار الاتصال بين النطاق وCMA.

يتحقق CMA تلقائيًا من الاتصال بجميع وحدات التحكم في النطاق، ويعرض النتائج لكل وحدة تحكم.

إذا كان اختبار الاتصال غير ناجح، راجع دليل استكشاف الأخطاء لخدمات الدليل وأخطاء وعي المستخدم للحصول على توصيات لتحري الخلل وإصلاحه.

لاختبار الاتصال بالنطاق:

  • من عمود الاتصال للنطاق، انقر فوق اختبار الاتصال. يعرض CMA نتائج اختبار الاتصال.

مزامنة المجال مع حساب Cato الخاص بك

بعد إضافة وحدات تحكم النطاق، قم بتكوين الإعدادات التي تحدد كيفية مزامنة المستخدمين في مجموعات LDAP.

  • إذا كنت تستخدم خدمات الدليل وتحتاج إلى تعديل رقم الهاتف المحمول للمستخدم من أجل MFA، قم فقط بتعديل الرقم في دليل LDAP

عرض عالي المستوى لتكوين إعدادات خدمات الدليل لمجال

  1. حدد مجموعات LDAP التي تتم مزامنتها مع حسابك.

  2. تمكين أو تعطيل المزامنة التلقائية للمستخدمين كل يوم.

  3. حدد السلوك للمستخدمين الذين تم إزالتهم من مجموعة LDAP - لتعطيلهم أو إزالتهم من CMA.

استيراد مجموعات Active Directory

حدد مجموعات LDAP التي سيتم مزامنتها إلى حسابك.

لتحديد مجموعات AD التي يتم استيرادها إلى حسابك:

  1. في لوحة خدمة الدليل الجديدة، انقر فوق مجموعات المستخدمين.

  2. من القائمة المنسدلة تحديد مجموعات المستخدمين، حدد المجموعات التي تقوم بمزامنتها مع حسابك.

    ملحوظة: إذا لم يتم اختيار أي مجموعات، يتم استيراد الدليل النشط بالكامل.

    قم بتكوين إعدادات المزامنة لهذا النطاق (انظر أدناه).

تخصيص التراخيص وتطبيق السياسات

بمجرد مزامنة المستخدمين في حسابك، يمكنك تعيين تراخيص SDP لهم وتطبيق السياسات التي يتم تنفيذها أينما يتصل المستخدم. لمزيد من المعلومات حول تخصيص تراخيص SDP، انظر تخصيص تراخيص ZTNA للمستخدمين.

نظرة عامة حول إعدادات المزامنة

يمكنك تمكين حسابك ليقوم بالمزامنة الأوتوماتيكية يوميًا مع دليل LDAP، وتحديث المجموعات والمستخدمين في CMA لتتوافق مع تلك الموجودة في المجال.

يمكنك رؤية المستخدمين الذين تم استيرادهم وأيهم تم إنشاؤهم يدويًا في عمود اسم الدليل - يظهر المستخدمون المستوردون باسم دليل LDAP وأولئك الذي أنشأوا يدويًا يظهرون كـ يدوي. يمكنك أيضًا التصفية باستخدام اسم الدليل، أو رؤية جميع المستخدمين الذين تمت إضافتهم يدويًا في النظام الخاص بك.

تبدأ Cato المزامنة الأوتوماتيكية اليومية لـ LDAP لجميع الحسابات في الساعة 12:00 صباحًا بتوقيت التوقيت العالمي. تنفذ Cato المزامنة حسابًا واحدًا في كل مرة، وقد يستغرق الأمر عدة ساعات لإكمال المزامنة اليومية لجميع الحسابات. إذا تم تعطيل خيار مزامنة المجموعات المستخدمين اليومية بعد الساعة 12:00 صباحًا، ولكن قبل أن تبدأ Cato المزامنة مع LDAP، عندئذٍ يتم تخطي المزامنة الأوتوماتيكية حتى نافذة الوقت التالية عند تمكين الخيار.

ملاحظة

ملحوظة: بالنسبة للحسابات التي تحتوي على عدة نطاقات، يجب أن تكون إعدادات المزامنة هي نفسها لجميع النطاقات في حسابك. وإلا، قد تكون هناك مشكلات تتعلق بالاعتماد على الثقة المحتملة بين النطاقات المختلفة.

المستخدمون الذين لم يعودوا موجودين في مجموعات خدمة الدليل

تتيح لك إعدادات إذا لم يعد المستخدم موجودًا في المجموعات المستوردة من خدمات الدليل تحديد سلوك المزامنة عند حذف المستخدمين أو المجموعات من خادم LDAP أو بعد انتهاء صلاحيتهم أو تعطيلهم. يمكنك الاختيار من الخيارات التالية:

  • تعطيل - يتم تعطيل المستخدمين ولا يمكنهم الاتصال بـ Cato Cloud. يبقى المستخدم في مجموعات المستخدم التي كانوا أعضاء فيها

  • إزالة - تتم إزالة حسابات المستخدم من CMA، بما في ذلك من مجموعات المستخدمين التي كانوا أعضاء فيها

    عندما تتم إزالة المجموعات أو المستخدمين من خادم LDAP، لكنهم يُستخدمون بواسطة كائن أو قاعدة في CMA، يكون هذا هو سلوك المزامنة:

    • المستخدمون يتم تعطيلهم بدلا من حذفهم

    • المجموعات يتم اعتبارها غير متزامنة

    • يتم تصنيف المجموعات أو المستخدمون كـ يدوي بدلا من LDAP

افتراضيًا، تمنع CMA حذف أو تعطيل أكثر من 100 مستخدم كجزء من مزامنة LDAP. في بداية مزامنة LDAP، إذا كانت المزامنة ستحذف أو تعطل أكثر من 100 مستخدم (بالنسبة للإعداد الافتراضي)، فإن المزامنة تُلغى ويتم إرسال إخطار عبر البريد الإلكتروني. يمكنك تعطيل منع حذف أو تعطيل المستخدمين، أو تغيير العدد الأقصى للمستخدمين المحذوفين لكل مزامنة LDAP.

تكوين إعدادات مزامنة خدمات الدليل

قم بتكوين الإعدادات لمزامنة بين النطاق وحساب Cato الخاص بك. اختر تمكين مزامنة تلقائية يومية والسلوك عند إزالة مستخدم من مجموعة خدمة الدليل.

لتكوين إعدادات المزامنة للنطاق:

  1. إدارة إعدادات المزامنة التلقائية:

    1. في لوحة خدمة الدليل الجديدة، حدد مجموعات المستخدمين.

    2. في قسم مجموعات المستخدمين، حدد لتمكين أو تعطيل مجموعات المستخدمين المزامنة اليومية.

      المفتاح يكون أخضر عندما تكون ممكّنة.

  2. حدد السلوك إذا لم يعد المستخدم موجوداً في مجموعات خدمة الدليل المستوردة في نطاق AD:

    • تعطيل المستخدم في CMA

    • إزالة المستخدم من CMA

  3. (اختياري) قم بتخصيص الإعداد لـ منع حذف أكثر من عدد من المستخدمين أثناء مزامنة LDAP:

    • لتغيير عدد المستخدمين الذين يمكن حذفهم أثناء مزامنة LDAP، في المستخدمين، أدخل الحد الأقصى لعدد المستخدمين المحذوفين.

    • لإزالة الحد على عدد المستخدمين الذين يمكن حذفهم أثناء مزامنة LDAP، قم بتعطيل slider_disable.png هذا الإعداد.

  4. انقر فوق تطبيق ثم انقر فوق حفظ.

    تم إعداد النطاق لمزامنة المستخدمين والمجموعات مع حسابك.

مزامنة خدمات الدليل يدويًا

استخدم ميزة المزامنة الآن لمزامنة المجموعات والمستخدمين بين خادم AD وCMA يدويًا. بالنسبة للحسابات التي تحتوي على نطاقات متعددة، يزامن CMA جميع النطاقات في نفس الوقت (لأنه يمكن أن تكون هناك تبعيات ثقة بين النطاقات).

لمزامنتة خدمات الدليل يدويًا لجميع المجالات:

  1. من قائمة التنقل انقر فوق الوصول > خدمات الدليل.

  2. في قسم LDAP أو التبويب، انقر فوق المزامنة الآن.

  3. بعد فترة وجيزة، يتم فتح نافذة وتلخيص المزامنة. إذا تم اكتشاف تغييرات، انقر على أحد الخيارات التالية:

    • راجع التغييرات - لمراجعة التغييرات قبل إجراء التحديثات.

    • إجراء التحديثات - لتنفيذ المزامنة وتحديث CMA والخوادم الخاصة بالنطاق.

حذف المجالات ووحدات تحكم المجالات

يمكنك حذف المجالات ووحدات تحكم DC عندما لم تعد هناك حاجة إليها.

ملاحظة

ملاحظة: عند حذف مجال أو وحدة تحكم مجال، لم يعد مستخدموها مرتبطين بالمجال ويتم تصنيفهم كمستخدمين من Cato. إذا قمت بإضافة نفس المستخدمين من نفس المجال أو مجال مختلف، فإنهم يظهرون مكررين في النظام. مرة كمستخدمين من Cato ومرة تحت المجال.

لحذف نطاق:

  1. من قائمة التنقل انقر فوق الوصول > خدمات الدليل.

  2. في قسم أو علامة التبويب LDAP، في صف المجال، اضغط Delete.png.

  3. انقر فوق حفظ. تم حذف النطاق من حسابك.

لحذف وحدة تحكم المجال:

  1. من قائمة التنقل انقر فوق الوصول > خدمات الدليل.

  2. في قسم LDAP أو التبويب، قم بتحرير النطاق.

    تفتح لوحة تعديل خدمات الدليل.

  3. في قائمة التنقل للوحة خدمة الدليل الجديدة، انقر فوق وحدات تحكم المجال.

  4. في الصف الذي يحتوي على وحدة التحكم بالمجال، اضغط Delete.png.

  5. انقر على تطبيق ثم انقر على حفظ. تم حذف وحدة التحكم في النطاق من النطاق.

إدارة نطاقات متعددة

إذا كانت مؤسستك تحتوي على أكثر من نطاق واحد، يمكنك تعريف اتصالات خدمة الدليل لكل نطاق. أضف وقم بتكوين النطاقات الجديدة للحساب.

يجب عليك إدخال كلمة المرور لكل نطاق جديد تضيفه إلى الحساب.

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات