Ajout de la sensibilisation des utilisateurs aux services d'annuaire

Cet article explique comment configurer la sensibilisation des utilisateurs pour offrir une meilleure visibilité aux utilisateurs d'AD sur les réseaux internes.

Vue d'ensemble de la Sensibilisation des Utilisateurs

L'application de gestion Cato vous permet d'identifier facilement les utilisateurs distants qui sont connectés à votre réseau d'entreprise car l'utilisateur s'est authentifié sur le Client Cato. Cependant, pour les utilisateurs qui se trouvent derrière un site, ils ne se connectent pas avec un Client et vous ne pouvez voir que l'adresse IP ou le nom de l'ordinateur. Il est difficile d'utiliser des analyses pour ces internes sans informations personnelles telles que le prénom et le nom de famille. La fonctionnalité Sensibilisation des utilisateurs s'intègre avec Active Directory (AD) pour corréler l'adresse IP et le nom d'utilisateur. Les PoPs peuvent interroger les journaux de connexion du DC et mapper les utilisateurs à l'adresse IP de leurs ordinateurs. Les données utilisateur sont presque en temps réel avec seulement un délai de 30 secondes. Sensibilisation des utilisateurs permet à la fenêtre de topologie et aux analyses d'afficher les noms des utilisateurs internes et pas seulement l'adresse IP.

Préparation à la Configuration de la Sensibilisation des Utilisateurs

Vous devez configurer les services d'annuaire pour le domaine avant de pouvoir activer la sensibilisation des utilisateurs. Pour plus d'informations sur la configuration des Services d'Annuaire, voir Approvisionnement des Utilisateurs avec LDAP.

Assurez-vous que la politique d'audit est configurée avec les identifiants d'événement que Sensibilisation des utilisateurs utilise dans le journal de sécurité Windows pour mapper les utilisateurs aux adresses IP. Pour plus d'informations, voir Résolution des problèmes de services d'annuaire et d'erreurs et problèmes de sensibilisation des utilisateurs.

Les sections suivantes expliquent comment configurer la sensibilisation des utilisateurs pour les sites IPsec qui sont derrière un pare-feu tiers. Si vous n'avez pas de site IPsec, continuez ci-dessous avec Définition des Contrôleurs de Domaine en Temps Réel.

Configuration d'un Pare-feu Tiers pour la Synchronisation de la Sensibilisation des Utilisateurs

La synchronisation de Sensibilisation des utilisateurs utilise une adresse IP fixe pour la plage de systèmes. Les clients qui utilisent un pare-feu tiers pour contrôler l'accès à leurs DC, doivent mettre à jour les paramètres du pare-feu pour autoriser cette adresse IP pour tous les ports et services. L'adresse IP utilisée pour la synchronisation de Sensibilisation des utilisateurs est différente pour les comptes utilisant la plage système par défaut, ou une plage système personnalisée.

Pour plus d'informations sur les plages par défaut et personnalisées pour les serveurs DNS dans le Cato Cloud, voir : Gestion des flux DNS dans le Cato Cloud.

Comptes qui Utilisent la Plage Système par Défaut

La plage de système par défaut réservée pour Cato Networks est 10.254.254.0/24. Pour les comptes utilisant cette plage par défaut, l'adresse IP fixe pour la synchronisation de la sensibilisation des utilisateurs est : 10.254.254.12.

Comptes qui Utilisent une Plage Système Personnalisée

Pour les comptes utilisant une plage de système personnalisée au lieu de celle par défaut, utilisez la plage personnalisée pour calculer l'adresse IP fixe pour la synchronisation de la sensibilisation des utilisateurs basée. L'adresse IP fixe est la 9ème dans la plage personnalisée. Par exemple, si la plage réservée personnalisée est 10.10.10.0/16, alors l'adresse IP fixe est 10.10.10.9.

Pour les comptes utilisant une plage IP plus petite, ils utilisent toujours la 9ème dans la plage personnalisée. Par exemple, si la plage réservée personnalisée est 10.200.200.64/28, alors l'adresse IP fixe est 10.200.200.73 (10.200.200.64 + x.x.x.9).

Sensibilisation des Utilisateurs avec un Hôte Partagé

Sensibilisation des utilisateurs détecte au moins 4 utilisateurs différents se connectant au même appareil dans un laps de temps de 2 heures, l'appareil est considéré comme un hôte partagé. Les règles du pare-feu et du réseau pour le groupe d'utilisateurs Tous les hôtes partagés ou l'adresse IP de l'hôte s'appliquent aux utilisateurs SDP connectés à l'hôte partagé, pas la règle pour l'utilisateur SDP.

Définition des Contrôleurs de Domaine en Temps Réel

Définissez les contrôleurs WMI sur le contrôleur de domaine (DC) qui surveillent les requêtes WMI en temps réel.

Pour les AD qui sont derrière un site, assurez-vous de définir le contrôleur de domaine (DC) comme un hôte pour ce site (Réseaux > Paramètres du site > Hôte).

Remarque

Remarque : Pour les comptes avec plusieurs DC, vous devez ajouter tous les DC qui événements de connexion aux Contrôleurs de domaine en temps réel.

Pour définir les contrôleurs de domaine en temps réel :

  1. Dans le menu de navigation, cliquez sur Accès > Sensibilisation des utilisateurs.

  2. Dans la section ou l'onglet Contrôleurs de domaine en temps réel, cliquez sur Nouveau.

    Le panneau Ajouter un contrôleur de domaine en temps réel s'ouvre.

  3. Depuis le menu déroulant Contrôleur de domaine, sélectionnez le domaine AD.

  4. Définissez les paramètres de connexion au DC en fonction de son emplacement :

    • Pour les DC sur un hôte défini derrière un site, sélectionnez Hôte interne, puis sélectionnez l'hôte statique pour le serveur LDAP

    • Pour les DC qui ne sont pas derrière un site, sélectionnez IP externe ou Domaine, et entrez l'adresse IP ou le domaine pour le DC

    Remarque

    Remarque : Vous devez utiliser des adresses IP publiques pour le DC.

  5. Saisissez le Nom d'utilisateur et le Mot de passe de l'utilisateur AD.

  6. Cliquez sur OK. Le contrôleur de domaine en temps réel est ajouté aux paramètres de sensibilisation des utilisateurs et poussé vers le Cato Cloud.

  7. Répétez les étapes précédentes pour chaque contrôleur de domaine.

Test du Statut de Connexion du Contrôleur de Domaine

Après avoir défini un contrôleur de domaine en temps réel, testez l'état de connexion pour vous assurer que l'application de gestion Cato et le Cato Cloud peuvent se connecter au DC.

Une fenêtre contextuelle montre si la connexion a réussi, ou si Cato Cloud n'a pas pu se connecter au DC.

Remarque

Remarque : Vous ne pouvez tester le statut de connexion du DC que pour un DC qui est un hôte prédéfini derrière un site.

Pour tester le statut de connexion du contrôleur de domaine en temps réel :

  1. Dans le menu de navigation, cliquez sur Accès > Sensibilisation des Utilisateurs.

  2. Dans l'onglet Contrôleurs de domaine en temps réel, de la colonne Connexion pour le domaine, cliquez sur Tester la connexion

    La fenêtre contextuelle montre les résultats du test de connexion.

Synchronisation du Domaine pour la Sensibilisation des Utilisateurs

Définissez quels groupes AD pour le domaine sont synchronisés avec votre compte Cato pour la sensibilisation des utilisateurs. Vous pouvez aussi choisir de synchroniser automatiquement l'AD tous les jours, ou d'effectuer uniquement la synchronisation manuellement. Les paramètres de synchronisation pour la sensibilisation des utilisateurs doivent être les mêmes pour tous les domaines de votre compte.

Lorsque les groupes ou utilisateurs d'AD sont retirés du domaine, ils sont désactivés dans votre compte à moins qu'ils ne soient utilisés dans des règles ou des groupes. For more about synchronization setting for Directory Services see Provisioning Users with SCIM and LDAP.

Définition des Groupes Active Directory pour la Sensibilisation des Utilisateurs

Sélectionnez les groupes AD dans le domaine contenant les utilisateurs synchronisés pour la sensibilisation des utilisateurs, et définissez les paramètres de synchronisation quotidienne pour eux.

Les utilisateurs ne sont synchronisés avec votre compte Cato que si un contrôleur de domaine en temps réel est configuré ou si l'agent d'identité est activé (Accès > Sensibilisation des utilisateurs > Agent d'identité).

L'attribut sAMAaccountName est utilisé pour le nom du groupe d'utilisateurs dans l'application de gestion Cato.

Pour définir les groupes AD qui sont synchronisés avec la sensibilisation des utilisateurs :

  1. Depuis le menu de navigation, cliquez sur Accès > Services d'annuaire.

  2. Sélectionnez l'onglet ou la section LDAP, et cliquez sur le domaine.

    Le panneau s'ouvre.

  3. Dans le menu de navigation du panneau, sélectionnez Groupes d'utilisateurs.

    Les groupes imbriqués sont synchronisés si vous sélectionnez le groupe parent

    "UA_AjouterGroupes.png"

  4. Sélectionnez les groupes AD pour la Sensibilisation des Utilisateurs.

    Remarque : Si aucun groupe n'est sélectionné, alors tous les groupes AD sont importés pour la Sensibilisation des Utilisateurs.

  5. Pour synchroniser automatiquement les groupes de Sensibilisation des Utilisateurs, activez enable.png Synchronisation quotidienne des Groupes de Sensibilisation des Utilisateurs.

  6. Cliquez sur Appliquer.

Suppression des Contrôleurs de Domaine en Temps Réel

Pour supprimer un Contrôleur de Domaine en Temps Réel :

  1. Dans le menu de navigation, cliquez sur Accès > Sensibilisation de l'Utilisateur.

  2. Dans la section ou l'onglet Contrôleurs de Domaine en Temps Réel, dans la ligne du domaine, cliquez sur Delete.png.

  3. Cliquez sur Enregistrer. Le Contrôleur de Domaine en Temps Réel est supprimé.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 2

0 commentaire