Este artículo explica cómo configurar la Conciencia de Usuario para proporcionar una mejor visibilidad para los usuarios de AD en redes internas.
La Aplicación de Gestión de Cato te permite identificar fácilmente a los usuarios remotos que están conectados a tu red corporativa porque el usuario se ha autenticado en el Cliente de Cato. Sin embargo, para los usuarios que están detrás de un sitio, no se conectan con un Cliente y solo puedes ver la dirección IP o el nombre del ordenador. Es difícil utilizar análisis para estos internos sin información personal como el nombre y apellido. La función de Conciencia de Usuario se integra con el Active Directory (AD) para correlacionar la dirección IP y el nombre de usuario. Los PoPs pueden consultar los registros de inicio de sesión en el DC y mapear usuarios a la dirección IP de sus computadoras. Los datos del usuario son casi en tiempo real con solo un retraso de 30 segundos. La Conciencia de Usuario permite que la ventana de topología y los análisis muestren los nombres de los usuarios internos y no solo la dirección IP.
Debes configurar los Servicios de Directorio para el dominio antes de poder habilitar la Conciencia de Usuario. Para más información sobre la configuración de Servicios de Directorio, vea Provisión de Usuarios con LDAP.
Asegúrate de que la política de auditoría esté configurada con los IDs de Evento que la Conciencia de Usuario utiliza en el registro de seguridad de Windows para mapear usuarios a direcciones IP. Para más información, consulta Resolución de Problemas de Servicios de Directorio y Errores y Problemas de Conciencia de Usuario.
Las siguientes secciones explican cómo configurar la Conciencia de Usuario para sitios IPsec que están detrás de un firewall de terceros. Si no tiene un sitio IPsec, continúe abajo con Definiendo Controladores de Dominio en Tiempo Real.
La sincronización de Conciencia de Usuario utiliza una dirección IP fija para el Rango del Sistema. Los clientes que utilizan un firewall de terceros para controlar el acceso a sus DCs, deben actualizar la configuración del firewall para permitir esta dirección IP para todos los puertos y servicios. La dirección IP que se utiliza para la sincronización de Conciencia de Usuario es diferente para cuentas que usan el rango de sistema predeterminado o un rango de sistema personalizado.
Para más información sobre los rangos predeterminados y personalizados para los servidores DNS en la Cato Cloud, consulta: Manejo de Flujos DNS en la Cato Cloud.
El rango de sistema predeterminado que está reservado para Cato Networks es 10.254.254.0/24. Para cuentas que utilizan este rango predeterminado, la dirección IP fija para la sincronización de Conciencia de Usuario es: 10.254.254.12.
Para cuentas que usan un rango de sistema personalizado en lugar de uno predeterminado, utiliza el rango personalizado para calcular la dirección IP fija para sincronización de Conciencia de Usuario basada. La dirección IP fija es la novena en el rango personalizado. Por ejemplo, si el rango reservado personalizado es 10.10.10.0/16, entonces la dirección IP fija es 10.10.10.9.
Para cuentas que utilizan un rango IP más pequeño, aún utilizan la novena en el rango personalizado. Por ejemplo, si el rango reservado personalizado es 10.200.200.64/28, entonces la dirección IP fija es 10.200.200.73 (10.200.200.64 + x.x.x.9).
User Awareness detecta al menos 4 usuarios diferentes iniciando sesión en el mismo dispositivo en un marco de tiempo de 2 horas, el dispositivo se considera un host compartido. Las reglas de firewall y red para el grupo de usuarios Todos los Hosts Compartidos o la dirección IP del host se aplican a los usuarios SDP registrados en el host compartido, no la regla para el usuario SDP.
Define los controladores WMI en el Controlador de Dominio (DC) que monitorean las consultas WMI en tiempo real.
Para los ADs que están detrás de un sitio, asegúrate de definir el Controlador de Dominio (DC) como un host para ese sitio (Redes > Configuraciones del Sitio > Host).
Nota
Nota: Para cuentas con múltiples DCs, debes añadir todos los DCs que eventos de inicio de sesión a los Controladores de Dominio en Tiempo Real.
Para definir Controladores de Dominio en Tiempo Real:
-
Desde el menú de navegación, haz clic en Acceso > Conciencia de Usuario.
-
En la sección o pestaña Controladores de Dominio en Tiempo Real, haz clic en Nuevo.
Se abre el panel Añadir Controlador de Dominio en Tiempo Real.
-
Desde el menú desplegable Controlador de Dominio, selecciona el dominio AD.
-
Define los ajustes de conexión al DC dependiendo de su ubicación:
-
Para DCs en un host definido detrás de un sitio, selecciona Host Interno, y luego selecciona el host estático para el servidor LDAP
-
Para DCs que no están detrás de un sitio, selecciona IP Externa o Dominio, e ingresa la dirección IP o dominio para el DC
Nota
Nota: Debes usar direcciones IP públicas para el DC.
-
-
Ingresa el Nombre de Usuario y Contraseña del usuario AD.
-
Haz clic en OK. El Controlador de Dominio en Tiempo Real se añade a la configuración de Conciencia de Usuario y se envía a la Cato Cloud.
-
Repite los pasos anteriores para cada Controlador de Dominio.
Después de definir un Controlador de Dominio en Tiempo Real, prueba el estado de conexión para asegurarte de que la Aplicación de Gestión de Cato y la Cato Cloud puedan conectarse al DC.
Una ventana emergente muestra si la conexión fue exitosa o si la Cato Cloud no pudo conectarse al DC.
Nota
Nota: Solo puedes probar el estado de conexión del DC para un DC que es un host predefinido detrás de un sitio.
Para probar el estado de conexión del Controlador de Dominio en Tiempo Real:
-
Desde el menú de navegación, haz clic en Acceso > Conciencia de Usuario.
-
En la Pestaña de Controladores de Dominio en Tiempo Real, de la columna Conexión para el dominio, haz clic en Probar Conexión.
La ventana emergente muestra los resultados de la prueba de conexión.
Define qué grupos de AD para el dominio se sincronizan con tu cuenta de Cato para Conciencia de Usuario. También puedes elegir si sincronizar automáticamente el AD todos los días o solo realizar la sincronización manualmente. Las configuraciones de sincronización para Conciencia de Usuario deben ser las mismas para todos los dominios en tu cuenta.
Cuando los grupos o usuarios de AD se eliminan del dominio, se desactivan en tu cuenta a menos que se utilicen en reglas o grupos. For more about synchronization setting for Directory Services see Provisioning Users with SCIM and LDAP.
Selecciona los grupos de AD en el dominio que contienen los usuarios que se sincronizan para Conciencia de Usuario, y define los ajustes de sincronización diaria para ellos.
Los usuarios solo se sincronizan con tu cuenta de Cato si se configura un Controlador de Dominio en Tiempo Real o se habilita el Agente de Identidad (Acceso > Conciencia de Usuario > Agente de Identidad).
El atributo sAMAaccountName se usa para el nombre del grupo de usuarios en la Aplicación de Gestión de Cato.
Para definir los grupos de AD que se sincronizan con Conciencia de Usuario:
-
Desde el menú de navegación, haz clic en Acceso > Servicios de Directorio.
-
Selecciona la pestaña o sección LDAP, y haz clic en el dominio.
Se abre el panel.
-
Desde el menú de navegación del panel, selecciona Grupos de Usuarios.
Los grupos anidados se sincronizan si seleccionas el grupo padre
-
Selecciona los grupos de AD para Conciencia de Usuario.
Nota: Si no se seleccionan grupos, entonces todos los grupos de AD se importan para Conciencia de Usuario.
-
Para sincronizar automáticamente los grupos de Conciencia del Usuario, active
Sincronización diaria de Grupos de Conciencia del Usuario.
-
Haz clic en Aplicar.
Para eliminar Controladores de Dominio en Tiempo Real:
-
Desde el menú de navegación, haz clic en Acceso > Conciencia del Usuario.
-
En la sección o pestaña Controladores de Dominio en Tiempo Real, en la fila del dominio haga clic en
.
-
Haz clic en Guardar. El Controlador de Dominio en Tiempo Real se elimina.
0 comentarios
El artículo está cerrado para comentarios.