Problème
Après avoir configuré la Sensibilisation Utilisateur et s'être assuré que les tests de connexion du contrôleur WMI réussissent sous Accès > Sensibilisation Utilisateur, certains utilisateurs ne sont toujours pas identifiés.
Solution
1. Vérifiez la politique d'audit sur les contrôleurs de domaine
Assurez-vous que Audit des événements de connexion de compte et Audit des événements de connexion sont configurés sur Succès dans la politique de sécurité locale sur chaque contrôleur de domaine.
La politique d'audit peut être trouvée sous Paramètres de sécurité > Politiques locales > Politique d'audit dans les paramètres de la politique de sécurité locale.
Remarque : La politique d'audit peut être contrôlée par GPO. Si "Audit des événements de connexion de compte" est configuré sur "Aucun audit" et que la politique est contrôlée par GPO, vous devrez modifier les paramètres dans le GPO. Vous ne pourrez pas changer ce paramètre dans la politique de sécurité locale.
Si les événements de connexion sont configurés sur succès, vous pourrez voir les événements dans la visionneuse d'événements sur le contrôleur de domaine. Cato lit les ID d'événements suivants à des fins de sensibilisation utilisateur :
- 4624
- 4768
- 4769
- 4770
- 5140
- 5145
2. Assurez-vous que tous les contrôleurs de domaine sont ajoutés aux contrôleurs WMI pour la synchronisation en temps réel dans l'application de gestion Cato
Les événements d'audit ne sont pas répliqués entre les contrôleurs de domaine, il est donc nécessaire d'ajouter tous les contrôleurs de domaine auxquels les utilisateurs peuvent s'authentifier à la configuration des contrôleurs WMI pour synchronisation en temps réel dans l'application de gestion Cato. Si un utilisateur s'authentifie sur un contrôleur de domaine qui n'est pas ajouté à la configuration, Cato ne pourra pas lire l'événement de connexion pour cet utilisateur, et l'utilisateur ne sera pas identifié.
Après avoir ajouté tous les contrôleurs de domaine à l'application de gestion Cato, assurez-vous également que le test de connexion est réussi pour chacun d'entre eux.
3. Vérifiez que le contrôleur de domaine est en marche et qu'il n'est pas épuisé
Confirmez qu'aucun pic de ressources CPU ou RAM ne se produit sur le contrôleur de domaine, ce qui pourrait affecter les requêtes WMI pour la sensibilisation utilisateur. Si le contrôleur de domaine présente un épuisement des ressources, suivez les étapes ci-dessous :
- Augmentez la quantité de RAM et de processeurs sur le serveur si possible.
-
Si ajouter plus de ressources physiques au serveur n'est pas possible, suivez les étapes ci-dessous pour augmenter la mémoire du service fournisseur WMI, gérer les quotas et réduire la taille des journaux des événements de sécurité :
- Augmentez la valeur de WMI MemoryPerHost (voir Augmenter les propriétés de quota WMI à leurs valeurs maximales)
- Ouvrez le Visionneuse d'événements
- Naviguez vers Visionneuse d'événements > Journaux Windows > Sécurité
- Cliquez droit sur Sécurité et ensuite sur Propriétés
- Fixez la Taille maximale de l'historique (KB) à 1024
- Lorsque la taille maximale de l'historique des événements est atteinte, sélectionnez Écraser les événements selon les besoins (les plus anciens en premier) ou Archiver l'historique lorsqu'il est plein, ne pas écraser les événements.
- Cliquez sur OK
4. Vérifiez que l'utilisateur a généré un événement de connexion sur un contrôleur de domaine.
Vous pouvez déterminer sur quel contrôleur de domaine un utilisateur s'est authentifié par l'une des commandes suivantes à partir de l'invite de commande sur l'ordinateur de l'utilisateur :
- set l
- echo %logonserver%
- nltest /dsgetdc:domain.com
Après avoir déterminé le contrôleur de domaine d'authentification, ouvrez la visionneuse d'événements sur ce contrôleur et allez à Journaux Windows > Sécurité. Vous pouvez ajouter un filtre pour l'ID d'événement de connexion à partir de la liste ci-dessus, comme 4624, puis rechercher le nom d'utilisateur.
Si vous trouvez un événement de connexion réussi pour l'utilisateur, et que ce contrôleur de domaine a passé le test de connexion des contrôleurs WMI pour la synchronisation en temps réel dans l'application de gestion Cato, alors la sensibilisation utilisateur devrait fonctionner pour cet utilisateur. Si la sensibilisation utilisateur ne fonctionne toujours pas, veuillez contacter le support Cato pour obtenir de l'aide.
Si vous ne trouvez pas un événement de connexion réussi pour l'utilisateur, vous pouvez exécuter une requête WMI à partir de l'invite de commande sur un ordinateur connecté au domaine pour vérifier que l'utilisateur est connecté à l'ordinateur.
Requête WMI en utilisant l'adresse IP :
WMIC /NODE: <adresse IP> COMPUTERSYSTEM GET USERNAME
Exemple :
5. Vérifiez que l'utilisateur est activé dans l'application de gestion Cato
Les utilisateurs importés dans l'application de gestion Cato peuvent être désactivés soit en les supprimant du groupe d'utilisateurs côté IdP soit en les désactivant manuellement dans l'application de gestion Cato. Les utilisateurs avec le statut désemballé ne seront pas mappés par la sensibilisation utilisateur.
Assurez-vous que l'utilisateur est activé dans l'application de gestion Cato.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.