Sincronización de usuarios con LDAP

En este artículo explicaremos y demostraremos cómo configurar tu cuenta de Cato para trabajar con Active Directory (integración LDAP). La función te permitirá obtener los usuarios y añadirlos automáticamente a la Cato Management Application (CMA). NO autenticará al servidor AD.

El atributo sAMAccountName se utiliza para el nombre del Grupo de Usuarios en la Aplicación de Gestión de Cato.

La sincronización tiene dos opciones principales:

1. Sincronización con un servidor AD local

2. Sincronización con un servidor AD externo

Comprender la Configuración de Sincronización de Usuarios

Los cambios en usuarios LDAP en el Controlador de Dominio pueden provocar un alto número de modificaciones de usuarios en la Cato Management Application. Para reducir el riesgo de errores, puedes optar por limitar el número de cambios realizados en cada sincronización de estas maneras:

  • Prevenir quitar o deshabilitar usuarios: Puedes limitar el número de usuarios que son eliminados o deshabilitados.
  • Prevenir la actualización de la membresía del grupo: Si una sincronización LDAP cambia la membresía de grupo de usuario de 1500 o más usuarios, Microsoft Active Directory en la nube podría remover a los usuarios del grupo. Para prevenir esto, puedes personalizar el número máximo de usuarios que pueden cambiar la membresía de grupo de usuario en una sola sincronización. Para más información, consulta Solución de Problemas de Servicios de Directorio y Errores de Conciencia de Usuario
  • Actualizar correos electrónicos de usuario: Puedes limitar el número de direcciones de correo electrónico de usuario que son actualizadas.

Si se supera el límite, la siguiente sincronización LDAP fallará y se crea un evento con el Subtipo Servicios de Directorio.

Nota

Nota: Un solo grupo que contenga más de 10,000 miembros no puede ser sincronizado. 

Sincronización de un Servidor AD Local

Si la sincronización LDAP no está funcionando correctamente, consulta Solución de problemas de sincronización y aprovisionamiento LDAP.

Cómo sincronizar un servidor AD local (servidor detrás de un sitio de Cato):

  1. Añadir el servidor AD a la página Hosts  del Sitio.

    1. Desde el menú de navegación, selecciona Network > Sites, y selecciona el sitio.
    2. Desde el menú de navegación, selecciona Configuración del Sitio > Hosts.
    3. Haz clic en New e introduce las configuraciones para el servidor AD.
    4. Haz clic en Apply y, a continuación, haz clic en Guardar.
    Hosts.png
  2. Añade un nuevo dominio a los servicios de LDAP para la cuenta.
    1. Desde el menú de navegación, haz clic en Access > Directory Services, y selecciona la pestaña o sección de LDAP.

    2. Haz clic en New, y configura las configuraciones para el dominio AD.

      New_DirectoryService.png

      • Login DN y Base DN - La cadena única para el AD (autenticando para usuarios obtenidos)
      • Contraseña - La contraseña para acceder al Active Directory DN
      • Cifrado - Selecciona Usar SSL para asegurar la conexión, no es compatible con todos los servidores
      • Configuraciones de sincronización de usuarios SDP - Selecciona los límites para añadir a una sincronización LDAP
    3. Haz clic en Guardar.
  3. Añade el servidor AD (del paso 1) como un controlador de dominio (DC) al dominio.
    1. En la sección de navegación del panel, haz clic en Domain Controllers.

    2. En el menú desplegable superior, selecciona Host, y en el siguiente menú desplegable, selecciona el host del paso 1.

      AD_host.png
    3. Haz clic en Guardar.

  4. Selecciona los grupos AD que estás sincronizando con tu cuenta de Cato.

    Nota

    Nota:

    • Si no se seleccionan grupos, entonces todos los grupos AD son importados para Conciencia de Usuarios.
    • Los grupos anidados se sincronizan si seleccionas el grupo principal
    • El parámetro User Principal Name (UPN) de AD debe configurarse para que un usuario sea identificado por User Awareness
    1. En la sección de navegación del panel, haz clic en User Groups.

    2. Selecciona los grupos AD que estás sincronizando.

      Edit_User_Groups.png

      Nota

      Nota: Las mayúsculas son importantes al importar unidades organizativas desde Active Directory. ExampleGroup será tratado de manera diferente que EXAMPLEGROUP.

      Si cambias el nombre de las OU dentro de Active Directory, por favor asegúrate de que también cambias las OU seleccionadas dentro de la CMA.

    3. Selecciona Syncronización Diaria de Grupos de Usuarios para habilitar la sincronización automática de los grupos y usuarios cada día.
    4. Haz clic en Guardar y Cerrar.
  5. En la pantalla de Servicios de Directorio, haz clic en Sync Now.

Después de que los usuarios sean sincronizados, se les puede asignar una licencia SDP.

Para Conciencia de Usuarios, los usuarios pueden ser identificados mediante consulta AD o el agente de identidad.

Sincronización de un Servidor AD Externo

Si necesitas sincronizar un servidor AD externo, entonces puedes realizar el mismo procedimiento que el anterior.

  • Cuando el UPN y/o la dirección de correo electrónico de un usuario LDAP han sido cambiados en el AD, el estado del usuario LDAP afectado permanece sin cambios en la CMA.
  • Al sincronizar el Azure AD, tanto los tipos de usuario Miembro como Invitado son sincronizados.
  • Asegúrate de que los nombres y apellidos estén configurados para los usuarios AD. De lo contrario, los usuarios que no tengan nombre o apellido NO se sincronizan con tu cuenta de Cato.

Sincronización de un Servidor AD Local

Si tu Controlador de Dominio está detrás de una conexión IPsec o si solo estás enrutando algunos subredes al Socket, asegúrate de incluir la dirección IP de la CMA en tu configuración de enrutamiento del túnel VPN. El tráfico desde y hacia esta IP debe ser enrutado a través del túnel de Cato.

Para más información sobre la dirección IP para la CMA, consulta Resolviendo problemas con la sincronización LDAP (debes estar conectado a tu cuenta de la base de conocimientos de Cato para ver este artículo).

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios