La Configuración del Servicio de Directorio le permite configurar la configuración para sincronizar usuarios entre su cuenta y dominios LDAP, como Active Directory (AD).
Nota
Nota: Debe incluir en la lista permitida las direcciones IP para la Aplicación de Gestión de Cato (CMA) que es la IP de Origen para el servicio LDAP de Cato, consulte Usando Direcciones IP de Cato (debe estar registrado para ver este artículo).
Este es el flujo de trabajo para usar Servicios de Directorio para integrar un dominio LDAP con tu cuenta de Cato:
Cuando añade un dominio LDAP a su cuenta, debe añadir una conexión de Servicio de Directorio a la CMA. Cada dominio y subdominio en tu organización necesita una conexión separada en la ventana de Configuración del Servicio de Directorio. Por ejemplo, si tu cuenta tiene los dominios sample.com, alpha.sample.com, y example.com, entonces necesitas crear tres conexiones en Configuración del Servicio de Directorio.
Para el dominio Password, la longitud máxima de una contraseña es de 48 caracteres.
Cuando ingresas los nombres distinguidos (DNs) para el dominio:
-
El DN de inicio de sesión se refiere al objeto en la jerarquía del directorio LDAP para el admin
-
El DN base se refiere al objeto en la jerarquía del directorio LDAP para los usuarios y grupos que el admin está sincronizando con Cato
Los cambios en los usuarios LDAP en el Controlador de Dominio pueden desencadenar un alto número de modificaciones de usuarios en la CMA. Para reducir el riesgo de errores, puedes elegir limitar el número de cambios realizados en cada sincronización de estas maneras:
-
Prevenir la eliminación o desactivación de usuarios: Puedes limitar el número de usuarios que se eliminan o desactivan.
-
Prevenir la actualización de membresía de grupos: Si una sincronización LDAP cambia la membresía de grupo de usuario de 1500 o más usuarios, Microsoft Active Directory local puede eliminar a los usuarios del grupo. Para prevenir esto, puedes personalizar el número máximo de usuarios que pueden cambiar la membresía de grupo de usuario en una sola sincronización. Para más información, consulta Solución de Problemas de Servicios de Directorio y Errores de Conciencia de Usuario
-
Actualizar correos electrónicos de usuario: Puedes limitar el número de direcciones de correo electrónico de usuario que se actualizan.
Si se supera el límite, la próxima sincronización LDAP fallará y se creará un evento con el sub-tipo Servicios de Directorio.
Nota
Nota: Si un usuario está desactivado y luego se vuelve a activar en tu AD, es posible que necesite desinstalar y reinstalar el Cliente de Cato para conectarse a la red.
Si cambia la ruta a un Grupo en su Controlador de Dominio, también debe actualizar el DN Base en la CMA.
Si no actualizas la CMA a la nueva ruta, los grupos de usuarios que se han movido ya no se incluirán en las sincronizaciones y se eliminarán. Estos grupos de usuarios ya no son visibles en la página de Grupos de Usuarios. Los grupos de usuarios eliminados aún son visibles en las políticas y están marcados como eliminados y la política no se aplica al grupo de usuarios. Las licencias SDP se eliminan de los usuarios dentro del grupo de usuarios aprovisionado LDAP eliminado y ya no pueden conectarse a la red. Si los usuarios necesitan conectarse a la red, entonces es necesario reasignarles licencias SDP.
Para añadir un dominio a la CMA:
-
Desde el menú de navegación, haz clic en Acceso > Servicios de Directorio.
-
Desde la sección o pestaña LDAP, y haz clic en Nuevo.
Se abre el panel Nuevo Servicio de Directorio.
-
Selecciona el Proveedor LDAP.
Solo se puede seleccionar un proveedor LDAP.
-
En la sección Descripción de Autenticación LDAP, configura el DN de inicio de sesión:
-
Para AD local, usa el Nombre Distinguido (DN) de la cuenta AD
-
Para un Azure AD, usa el Nombre Principal del Usuario (UPN) de la cuenta AD
-
-
Ingresa el DN de inicio de sesión y el DN Base.
-
Ingresa la Contraseña para el usuario CN que creaste para la conexión de Servicios de Directorio.
-
Para dominios LDAP que usan una conexión SSL, selecciona Cifrado.
El dominio se añade a la CMA. Configura los Controladores de Dominio para el dominio.
-
Selecciona tu Configuración de Sincronización de Usuarios SDP.
Agrega el Controlador de Dominio (DC) que está asociado con el servidor LDAP al dominio de Servicios de Directorio.
Para servidores LDAP que están detrás de un sitio, puedes agregar el controlador de dominio usando la dirección IP o como un anfitrión que esté definido para un sitio (Red > Sitios > {site name} > Configuración del Sitio > Hosts estáticos).
Para servidores que son externos y usan una dirección IP pública, puedes definir el DC usando una dirección IP o el dominio.
Lista de permitidos IPs de Cato
Para asegurarte de que el tráfico pueda llegar a tus servicios AD, pon en lista permitida las direcciones IP que figuran en Usando Direcciones IP de Cato (debes estar registrado para ver este artículo). El tráfico de ida y vuelta sobre estas direcciones IP se enruta dentro del túnel de Cato.
Asegúrese de que los cortafuegos o dispositivos de enrutamiento estén configurados correctamente para los siguientes despliegues:
-
El DC reside detrás de un sitio IPsec (en lugar de un Socket)
-
Todo el tráfico no se enruta hacia el Socket
Para agregar un controlador de dominio:
-
En el menú de navegación del panel Nuevo Servicio de Directorio, haz clic en Controladores de Dominio.
-
Define los ajustes de conexión al DC dependiendo de su ubicación:
-
Para DC en un host definido detrás de un sitio, selecciona Host Interno, y luego selecciona el host estático para el servidor LDAP
-
Para DC que usan una dirección IP interna, selecciona IP Interna e ingresa la dirección IP para el DC
-
Para DC que no están detrás de un sitio, selecciona IP Externa o Dominio, e ingresa la dirección IP o el dominio para el DC
-
-
Haz clic en Añadir.
-
Para despliegues con múltiples DC, repite los pasos anteriores para agregar cada DC.
-
Haz clic en Guardar y Cerrar.
Después de definir el dominio y añadir el Controlador de Dominio, recomendamos que pruebe la conectividad entre el dominio y la CMA.
La CMA prueba automáticamente la conectividad con todos los controladores de dominio en el dominio, y muestra los resultados para cada controlador de dominio.
Si la prueba de conectividad no es exitosa, consulta Solución de Problemas de Servicios de Directorio y Errores y Problemas de Conciencia de Usuario para obtener recomendaciones de solución de problemas.
Para probar la conectividad al dominio:
-
Desde la columna Conexión para el dominio, haz clic en Probar conexión. La CMA muestra los resultados de la prueba de conectividad.
Después de agregar los DC, configura las opciones que definen cómo sincronizar a los usuarios en los grupos LDAP.
-
Si estás usando los Servicios de Directorio y necesitas modificar el número de teléfono móvil de un usuario para MFA, solo modifica el número de teléfono en el directorio LDAP
-
Seleccione los Grupos LDAP que se sincronizan con su cuenta.
-
Habilita o deshabilita la sincronización automática de los usuarios cada día.
-
Defina el comportamiento para los usuarios que se eliminan del Grupo LDAP - para deshabilitarlos o eliminarlos de la CMA.
Selecciona los grupos LDAP para ser sincronizados en tu cuenta.
Para seleccionar los grupos AD que se importan a tu cuenta:
-
En el panel Nuevo Servicio de Directorio, haz clic en Grupos de Usuarios.
-
Desde el menú desplegable Seleccionar Grupos de Usuarios, selecciona los grupos que estás sincronizando con tu cuenta.
Nota: Si no se seleccionan grupos, se importa todo el Active Directory.
Configura las opciones de Sincronización para este dominio (ver abajo).
Una vez los usuarios están sincronizados en su cuenta, puede asignarles licencias SDP y aplicar políticas que son aplicadas dondequiera que el usuario conecte. Para más información sobre asignación de licencias SDP, consulta Asignar Licencias ZTNA a Usuarios.
Puede habilitar su cuenta para sincronizar automáticamente cada día con el directorio LDAP y actualizar los grupos y usuarios en el CMA para que coincidan con los del dominio.
Puede ver qué usuarios fueron importados y cuáles fueron creados manualmente en la columna Nombre del Directorio - los usuarios importados aparecen con el nombre del directorio LDAP y los creados manualmente aparecen como Manual. También puede filtrar por un nombre de directorio, o para ver todos los usuarios añadidos manualmente en su sistema.
Cato comienza la sincronización LDAP automática diaria para todas las cuentas a las 12:00 am UTC. Cato realiza la sincronización una cuenta a la vez y puede llevar varias horas completar la sincronización diaria de todas las cuentas. Si la opción Sincronización Diaria de Grupos de Usuarios está deshabilitada después de las 12:00 am, pero antes de que Cato comience la sincronización LDAP, entonces la sincronización automática se omite hasta la próxima ventana de tiempo cuando la opción está habilitada.
Nota
Nota: Para cuentas con múltiples dominios, las opciones de sincronización deben ser las mismas para todos los dominios en tu cuenta. De lo contrario, pueden surgir problemas relacionados con posibles dependencias de confianza entre los diferentes dominios.
Usuarios que Ya No Existen en Grupos de Servicio de Directorio
La configuración Si el usuario ya no existe en grupos de Servicios de Directorio importados le permite definir el comportamiento de sincronización cuando los usuarios o grupos son eliminados del servidor LDAP o han caducado o sido deshabilitados. Puede elegir entre las siguientes opciones:
-
Deshabilitar - los usuarios son deshabilitados y no pueden conectarse al Cato Cloud. El usuario permanece en los Grupos de Usuarios de los que eran miembros
-
Eliminar - las cuentas de usuario se eliminan de la CMA, incluidos de Grupos de Usuarios de los que eran miembros
Cuando se eliminan grupos o usuarios del servidor LDAP, pero son utilizados por un objeto o una regla en la CMA, este es el comportamiento de sincronización:
-
Los usuarios se deshabilitan en lugar de eliminarse
-
Los grupos se marcan como ya no sincronizados
-
Los grupos o usuarios se etiquetan como Manual en lugar de LDAP
-
Por defecto, el CMA evita que las cuentas eliminen o deshabiliten más de 100 usuarios como parte de la sincronización LDAP. Al inicio de la sincronización LDAP, si la sincronización va a eliminar o deshabilitar más de 100 usuarios (para la configuración predeterminada), entonces la sincronización se cancela y se envía una notificación por correo electrónico. Puede desactivar la prevención de eliminación o deshabilitación de usuarios, o cambiar el número máximo de usuarios eliminados por sincronización LDAP.
Configure los ajustes para la sincronización entre el dominio y su cuenta de Cato. Elige habilitar una sincronización automática diaria y el comportamiento cuando un usuario es eliminado de un Grupo de Servicio de Directorio.
Para configurar los ajustes de sincronización para un dominio:
-
Gestione los ajustes de sincronización automática:
-
En el panel Nuevo Servicio de Directorio, seleccione Grupos de Usuarios.
-
En la sección Grupos de Usuarios, seleccione para habilitar o deshabilitar Sincronización Diaria de Grupos de Usuarios.
El interruptor está en verde cuando está habilitado.
-
-
Defina el comportamiento Si el usuario ya no existe en los grupos de Directorio Importado en el dominio AD:
-
Deshabilitar al usuario en la CMA
-
Eliminar al usuario de la CMA
-
-
(Opcional) Personalizar la configuración para Prevenir la eliminación de más de un número de usuarios durante la sincronización LDAP:
-
Para cambiar cuántos usuarios se pueden eliminar durante la sincronización LDAP, en usuarios, ingrese el número máximo de usuarios eliminados.
-
Para eliminar el límite de cuántos usuarios pueden ser eliminados durante la sincronización LDAP, deshabilita
esta configuración.
-
-
Haz clic en aplicar y, a continuación, haz clic en Guardar.
El dominio está configurado para sincronizar usuarios y grupos con su cuenta.
Usa la función Sincronizar Ahora para sincronizar manualmente usuarios y grupos entre el servidor AD y la CMA. Para cuentas con múltiples dominios, la CMA sincroniza todos los dominios simultáneamente porque puede haber dependencias de confianza entre dominios.
Incluso después de revisar los cambios candidatos y hacer clic en Enviar, no todos los cambios enviados se aplican necesariamente. La CMA valida cada cambio antes de crear o actualizar usuarios y grupos. Por ejemplo, un cambio puede fallar si un grupo manual con el mismo nombre ya existe. Puedes revisar los resultados de cada cambio procesado en la página de Eventos.
Nota
Nota: Puede tardar unos minutos en que la página de Eventos se actualice con los cambios.
Para sincronizar manualmente los Servicios de Directorio para todos los dominios:
-
Desde el menú de navegación, haz clic en Acceso > Servicios de Directorio.
-
En la sección o pestaña LDAP, haga clic en Sincronizar Ahora.
-
La ventana de Sincronización Manual LDAP se abre y muestra los cambios potenciales a usuarios y grupos. Revisa los cambios y haz clic en Enviar.
-
Una página de confirmación indica que la solicitud fue enviada e incluye un enlace a la página de Eventos, ya filtrado para el evento de sistema relevante y sub-tipo.
-
Si la sincronización es exitosa, se genera un evento de sistema con el sub-tipo Provisionando LDAP con un mensaje similar a:
Usuario 'x' fue creado
-
Si la sincronización falla, se genera un evento de sistema con el mismo sub-tipo con un mensaje similar a:
Falló al guardar usuario
-
Si deseas buscar nuevamente los cambios potenciales que fueron enviados, busca eventos de sistema con el sub-tipo Servicios de Directorio que tienen un mensaje similar a:
'x' cambio(s) potencial(es) fueron enviados
-
En el siguiente ejemplo, puedes ver que 3 cambios potenciales fueron enviados manualmente.
Los cambios fueron enviados exitosamente, y al verificar la página de Eventos, puedes ver que Jane Phillips fue creada exitosamente:
Sin embargo, John Doe no pudo ser creado porque un usuario creado manualmente con ese correo electrónico ya existe en la cuenta.
Puede eliminar dominios y controladores de dominio cuando ya no sean necesarios.
Nota
Nota: Cuando eliminas un dominio o DC, sus usuarios ya no están asociados con el dominio y se etiquetan como Usuarios de Cato. Si agregas los mismos usuarios del mismo, o diferente, dominio se duplican en el sistema. Una vez como Usuarios de Cato y otra vez bajo el dominio.
Para eliminar un dominio:
-
Desde el menú de navegación, haz clic en Acceso > Servicios de Directorio.
-
En la sección o pestaña LDAP, en la fila del dominio haz clic en
.
-
Haz clic en Guardar. El dominio se elimina de su cuenta.
Para eliminar un controlador de dominio:
-
Desde el menú de navegación, haz clic en Acceso > Servicios de Directorio.
-
En la sección o pestaña LDAP, edite el dominio.
El panel Editar Servicios de Directorio se abre.
-
En el menú de navegación del panel Nuevo Servicio de Directorio, haga clic en Controladores de Dominio.
-
En la fila con el DC, haz clic en
-
Haz clic en aplicar y, a continuación, haz clic en Guardar. El controlador de dominio se elimina del dominio.
0 comentarios
El artículo está cerrado para comentarios.