डायरेक्टरी सेवा सेटिंग्स अनुभाग आपको अपने खाते और LDAP डोमेन, जैसे कि Active Directory (AD), के बीच उपयोगकर्ताओं को सिंक करने के लिए सेटिंग्स कॉन्फ़िगर करने की अनुमति देता है।
नोट
नोट: आपको Cato प्रबंधन अनुप्रयोग (CMA) के लिए IP पतों को अनुमति सूची में जोड़ना होगा, जो कि Cato LDAP सेवा के स्रोत IP है, देखें Cato IP पतों का उपयोग करना (इस लेख को देखने के लिए आपको साइन इन होना आवश्यक है)।
यह आपके Cato खाते के साथ एक LDAP डोमेन को एकीकृत करने के लिए डायरेक्टरी सेवाओं का उपयोग करने के लिए कार्यप्रवाह है:
जब आप अपने खाते में एक LDAP डोमेन जोड़ते हैं, तो आपको CMA में एक डायरेक्टरी सेवा कनेक्शन जोड़ना होगा। आपके संगठन के प्रत्येक डोमेन और चाइल्ड डोमेन के लिए डायरेक्टरी सेवा सेटिंग्स विंडो में एक अलग कनेक्शन की आवश्यकता होती है। उदाहरण के लिए, यदि आपके खाते में sample.com, alpha.sample.com, और example.com है, तो आपको डायरेक्टरी सेवा सेटिंग्स में तीन कनेक्शन बनाने होंगे।
डोमेन पासवर्ड के लिए, पासवर्ड की अधिकतम लंबाई 48 अक्षर है।
जब आप डोमेन के लिए विशिष्ट नाम (DNs) दर्ज करते हैं:
-
लॉगिन DN LDAP डायरेक्टरी पदानुक्रम में प्रशासक के लिए वस्तु को संदर्भित करता है
-
बेस DN LDAP डायरेक्टरी पदानुक्रम में उन उपयोगकर्ताओं और समूहों के लिए वस्तु को संदर्भित करता है जिन्हें प्रशासक Cato के साथ सिंक्रनाइज़ कर रहा है
डोमेन नियंत्रक पर LDAP उपयोगकर्ताओं में परिवर्तन CMA में उपयोगकर्ता उच्च संशोधनों को ट्रिगर कर सकता है। त्रुटियों के जोखिम को कम करने के लिए, आप इन तरीकों से प्रत्येक सिंक्रनाइज़ेशन में किए गए परिवर्तनों की संख्या को सीमित करना चुन सकते हैं:
-
उपयोगकर्ता हटाना या अक्षम करना रोकें: आप हटाए गए या अक्षम किए गए उपयोगकर्ताओं की संख्या को सीमित कर सकते हैं।
-
समूह सदस्यता अद्यतन करना रोकें: यदि LDAP सिंक 1500 या अधिक उपयोगकर्ताओं के उपयोगकर्ता समूह सदस्यता को बदलता है, तो Microsoft ऑन-प्रिमाइसेस सक्रिय डायरेक्टरी उपयोगकर्ताओं को समूह से हटा सकती है। इसे रोकने के लिए, आप एक एकल सिंक में उपयोगकर्ता समूह सदस्यता को बदलने वाले उपयोगकर्ताओं की अधिकतम संख्या को कस्टमाइज़ कर सकते हैं। अधिक जानकारी के लिए, देखें डायरेक्टरी सेवाएं और उपयोगकर्ता जागरूकता त्रुटियाँ निवारण
-
उपयोगकर्ता ईमेल अपडेट करें: आप अद्यतन किए गए उपयोगकर्ता ईमेल पते की संख्या को सीमित कर सकते हैं।
यदि सीमा पार की जाती है, तो अगला LDAP सिंक विफल हो जाएगा और डायरेक्टरी सेवाएं उप-प्रकार के साथ एक घट चेतावनी उत्पन्न होती है।
नोट
नोट: यदि आपका AD पर कोई उपयोगकर्ता निष्क्रिय है और फिर से सक्रिय किया जाता है, उन्हें नेटवर्क से कनेक्ट करने के लिए Cato क्लाइंट को अनइंस्टॉल और पुनः इंस्टॉल करने की आवश्यकता हो सकती है।
यदि आप अपने डोमेन नियंत्रक में किसी समूह का पथ बदलते हैं, तो आपको CMA में बेस DN को भी अपडेट करना होगा।
यदि आप CMA को नए पथ पर अपडेट नहीं करते हैं, तो उपयोगकर्ता समूह जो स्थानांतरित कर दिए गए हैं वे अब सिंक में शामिल नहीं किए जाते हैं और हटा दिए जाते हैं। ये उपयोगकर्ता समूह अब उपयोगकर्ता समूह पृष्ठ पर दृश्यमान नहीं हैं। हटाए गए उपयोगकर्ता समूह अभी भी नीतियों में दिखाई देते हैं और उन्हें हटाए गए के रूप में चिह्नित किया जाता है और उपयोगकर्ता समूह पर नीति लागू नहीं होती। हटाए गए LDAP प्रोविजन्ड उपयोगकर्ता समूह के भीतर उपयोगकर्ताओं से SDP लाइसेंस हटा दिए जाते हैं और वे अब नेटवर्क से कनेक्ट नहीं कर सकते। यदि उपयोगकर्ताओं को नेटवर्क से कनेक्ट करने की आवश्यकता है, तो उनके लिए SDP लाइसेंस को पुनः आवंटित करना आवश्यक है।
CMA में एक डोमेन जोड़ने के लिए:
-
नेविगेशन मेनू से, पहुँच > डायरेक्टरी सेवाएं पर क्लिक करें।
-
LDAP अनुभाग या टैब से, और नया पर क्लिक करें।
नई डायरेक्टरी सेवा पैनल खुलता है।
-
LDAP प्रदाता चुनें।
केवल एक LDAP प्रदाता को चुना जा सकता है।
-
LDAP प्रमाणीकरण विवरण अनुभाग में, लॉगिन DN कॉन्फ़िगर करें:
-
ऑन-प्रिमाइस AD के लिए, AD खाता विशिष्ट नाम (DN) का उपयोग करें
-
Azure AD के लिए, AD खाता उपयोगकर्ता प्रमुख नाम (UPN) का उपयोग करें
-
-
लॉगिन DN और बेस DN दर्ज करें।
-
डायरेक्टरी सेवाओं के कनेक्शन के लिए आपने जिस CN उपयोगकर्ता को बनाया है उसके लिए पासवर्ड दर्ज करें।
-
उन LDAP डोमेन्स के लिए जो SSL कनेक्शन का उपयोग करते हैं, एन्क्रिप्शन का चयन करें।
डोमेन CMA में जोड़ा गया है। डोमेन के लिए डोमेन नियंत्रक कॉन्फ़िगर करें।
-
अपने SDP उपयोगकर्ता सिंक सेटिंग्स का चयन करें।
LDAP सर्वर के साथ जुड़े डोमेन नियंत्रक (DC) को डायरेक्टरी सेवाएं डोमेन में जोड़ें।
उन LDAP सर्वरों के लिए जो एक साइट के पीछे हैं, आप IP पता का उपयोग करके या साइट के लिए परिभाषित होस्ट के रूप में DC जोड़ सकते हैं (नेटवर्क > साइट्स > {site name} > साइट कॉन्फ़िगरेशन > होस्ट)।
उन सर्वरों के लिए जो बाहरी हैं और सार्वजनिक IP पता का उपयोग करते हैं, आप IP पता या डोमेन का उपयोग कर DC को परिभाषित कर सकते हैं।
Cato IP को अनुमति सूची में जोड़ना
यह सुनिश्चित करने के लिए कि ट्रैफ़िक आपकी AD सेवाओं तक पहुँच सकता है, Cato IP का उपयोग करना में सूचीबद्ध IP पते को अनुमति सूची में जोड़ें (इस लेख को देखने के लिए आपको साइन इन होना आवश्यक है)। इन IP पतों से और इनके लिए ट्रैफ़िक Cato टनल के अंदर मार्गित है।
यह सुनिश्चित करें कि निम्नलिखित परिनियोजनों के लिए फ़ायरवॉल या रूटिंग उपकरण सही तरीके से कॉन्फ़िगर किए गए हैं:
-
DC एक IPsec साइट के पीछे है (सॉकेट के बजाय)
-
सभी ट्रैफ़िक को सॉकेट पर नहीं रूट किया गया है
डोमेन नियंत्रक जोड़ने के लिए:
-
नई डायरेक्टरी सेवा पैनल के नेविगेशन मेनू में, डोमेन नियंत्रक पर क्लिक करें।
-
के स्थान के आधार पर DC के साथ कनेक्शन सेटिंग्स को परिभाषित करें:
-
एक साइट के पीछे परिभाषित होस्ट पर DCs के लिए, आंतरिक होस्ट चुनें, और फिर LDAP सर्वर के लिए स्थैतिक होस्ट चुनें
-
वे DCs जो आंतरिक IP पता का उपयोग करते हैं, के लिए आंतरिक IP चुनें और DC के लिए IP पता दर्ज करें
-
वे DCs जो साइट के पीछे नहीं हैं, के लिए बाहरी IP या डोमेन चुनें और DC के लिए IP पता या डोमेन दर्ज करें
-
-
जोड़ें पर क्लिक करें।
-
कई DCs के साथ डिप्लॉयमेंट के लिए, प्रत्येक DC जोड़ने के लिए पिछले चरणों को दोहराएं।
-
सहेजें और बंद करें पर क्लिक करें।
जब आप डोमेन को परिभाषित करते हैं और DC को जोड़ते हैं, तो हम आपको डोमेन और CMA के बीच कनेक्टिविटी का परीक्षण करने की सलाह देते हैं।
CMA स्वचालित रूप से डोमेन के सभी DCs के लिए कनेक्टिविटी का परीक्षण करता है और प्रत्येक DC के लिए परिणाम दिखाता है।
यदि कनेक्टिविटी परीक्षण असफल रहता है, तो समस्या निवारण की सिफारिशों के लिए डायरेक्टरी सेवाएँ और उपयोगकर्ता जागरूकता त्रुटियाँ और मुद्दों का समस्या निवारण करें देखें।
डोमेन के लिए कनेक्टिविटी का परीक्षण करने के लिए:
-
डोमेन के लिए कनेक्शन कॉलम से, कनेक्शन परीक्षण करें पर क्लिक करें। CMA कनेक्टिविटी परीक्षण के परिणाम दिखाता है।
DCs जोड़ने के बाद, उन सेटिंग्स को कॉन्फ़िगर करें जो परिभाषित करती हैं कि LDAP समूहों में उपयोगकर्ताओं को कैसे समन्वयित किया जाए।
-
यदि आप डायरेक्टरी सेवाओं का उपयोग कर रहे हैं और MFA के लिए उपयोगकर्ता का मोबाइल फोन नंबर बदलने की आवश्यकता है, तो केवल LDAP निर्देशिका में फोन नंबर बदलें
-
वे LDAP समूह चुनें जो आपके खाते के साथ सिंक्रनाइज़ किए गए हैं।
-
प्रत्येक दिन स्वचालित रूप से उपयोगकर्ताओं को समन्वयित करने को सक्षम या अक्षम करें।
-
उन उपयोगकर्ताओं के लिए व्यवहार परिभाषित करें जो LDAP समूह से हटा दिए गए हैं - उन्हें निष्क्रिय करें या CMA से हटाएं।
अपने खाते में समन्वित करने के लिए LDAP समूह चुनें।
उन AD समूहों का चयन करने के लिए जिन्हें आपके खाते में आयात किया जा रहा है:
-
नई डायरेक्टरी सेवा पैनल में, उपयोगकर्ता समूह पर क्लिक करें।
-
उपयोगकर्ता समूह चुनें ड्रॉपडाउन से, उन समूहों का चयन करें जिन्हें आप अपने खाते के साथ समन्वयित कर रहे हैं।
नोट: यदि कोई समूह चयनित नहीं किया जाता है, तो पूरी सक्रिय निर्देशिका आयात की जाती है।
इस डोमेन के लिए सिंक्रनाइज़ेशन सेटिंग्स कॉन्फ़िगर करें (नीचे देखें)।
एक बार जब उपयोगकर्ता आपके खाते में सिंक्रनाइज़ हो जाते हैं, तो आप उन्हें SDP लाइसेंस आवंटित कर सकते हैं और नीतियां लागू कर सकते हैं जो उपयोगकर्ता के जुड़ने पर लागू होती हैं। SDP लाइसेंस वितरित करने के बारे में अधिक जानकारी के लिए, उपयोगकर्ताओं को ZTNA लाइसेंस वितरित करना देखें।
आप अपने खाते को स्वचालित रूप से प्रतिदिन LDAP डायरेक्टरी के साथ सिंक्रनाइज़ कर सकते हैं, और CMA में समूहों और उपयोगकर्ताओं को डोमेन से मेल करने के लिए अपडेट कर सकते हैं।
आप देख सकते हैं कि कौन से उपयोगकर्ता इम्पोर्ट किए गए थे और कौन से उपयोगकर्ता मैन्युअल रूप से बनाए गए थे डायरेक्टरी का नाम कॉलम में - इम्पोर्टेड उपयोगकर्ता LDAP डायरेक्टरी के नाम के साथ दिखाई देते हैं और मैन्युअल रूप से बनाए गए उपयोगकर्ता मैन्युअल के रूप में दिखाई देते हैं। आप डायरेक्टरी के नाम से फ़िल्टर भी कर सकते हैं, या अपनी प्रणाली में सभी मैन्युअल रूप से जोड़े गए उपयोगकर्ताओं को देख सकते हैं।
Cato सभी खातों के लिए सुबह 12:00 बजे UTC पर दैनिक स्वचालित LDAP सिंक शुरू करता है। Cato एक समय में एक खाता सिंक करता है, और सभी खातों का दैनिक सिंक पूरा होने में कई घंटे लग सकते हैं। यदि दैनिक सिंक उपयोगकर्ता समूह विकल्प 12:00 बजे के बाद अक्षम है, लेकिन Cato द्वारा LDAP सिंक शुरू करने से पहले, तब स्वचालित सिंक को अगली बार विंडो सक्षम होने तक छोड़ दिया जाता है।
नोट
नोट: उन खातों के लिए जिनके पास कई डोमेन हैं, आपके खाते में सभी डोमेन के लिए सिंक्रनाइज़ेशन सेटिंग्स समान होनी चाहिए। अन्यथा, विभिन्न डोमेनों के बीच संभावित विश्वास निर्भरताओं से संबंधित मुद्दे हो सकते हैं।
डायरेक्टरी सेवा समूह में अब मौजूद नहीं उपयोगकर्ता
यदि उपयोगकर्ता इम्पोर्टेड डायरेक्टरी सेवा समूहों में अब मौजूद नहीं है सेटिंग आपको सिंक्रनाइज़ेशन व्यवहार को परिभाषित करने देती है जब उपयोगकर्ता या समूह LDAP सर्वर से हटाए जाते हैं या समाप्त हो गए हैं या अक्षम किए गए हैं। आप निम्नलिखित विकल्पों में से चुन सकते हैं:
-
निष्क्रिय करें - उपयोगकर्ता निष्क्रिय हैं और वे Cato क्लाउड से कनेक्ट नहीं कर सकते। उपयोगकर्ता उपयोगकर्ता समूहों में बने रहते हैं जिनका वे सदस्य थे
-
हटाएं - उपयोगकर्ताओं के खाते CMA से हटा दिए जाते हैं, जिसमें उन उपयोगकर्ता समूहों से भी शामिल हैं जिनके वे सदस्य थे
जब समूह या उपयोगकर्ता LDAP सर्वर से हटाए जाते हैं, लेकिन वे CMA में किसी वस्तु या नियम द्वारा उपयोग किए जाते हैं, तो यह सिंक व्यवहार है:
-
उपयोगकर्ताओं को हटाए जाने के बजाय निष्क्रिय कर दिया जाता है
-
समूहों को अब समन्वयित नहीं किया गया के रूप में चिह्नित किया जाता है
-
समूहों या उपयोगकर्ताओं को मैन्युअल के रूप में चिह्नित किया गया है, न कि LDAP
-
डिफ़ॉल्ट रूप से, CMA LDAP सिंक का हिस्सा के रूप में 100 से अधिक उपयोगकर्ताओं को हटाने या अक्षम करने से खातों को रोकता है। LDAP सिंक के शुरू में, यदि सिंक 100 से अधिक उपयोगकर्ताओं को हटाने या अक्षम करेगा (डिफ़ॉल्ट सेटिंग के लिए), तो सिंक रद्द किया जाता है और एक ईमेल अधिसूचना भेजी जाती है। आप उपयोगकर्ताओं को हटाने या अक्षम करने को रोकने को अक्षम कर सकते हैं, या प्रति LDAP सिंक हटाए गए उपयोगकर्ताओं की अधिकतम संख्या को बदल सकते हैं।
डोमेन और आपके Cato खाता के बीच सिंक के लिए सेटिंग्स कॉन्फ़िगर करें। आप एक दैनिक स्वचालित सिंक को सक्षम करना चुनते हैं और जब उपयोगकर्ता डायरेक्टरी सेवा समूह से हटाया जाता है, तब का व्यवहार।
डोमेन के लिए सिंक्रनाइज़ेशन सेटिंग्स कॉन्फ़िगर करने के लिए:
-
स्वचालित सिंक सेटिंग्स प्रबंधित करें:
-
नया डायरेक्टरी सेवा पैनल में, उपयोगकर्ता समूह का चयन करें।
-
उपयोगकर्ता समूह अनुभाग में, दैनिक सिंक उपयोगकर्ता समूह को सक्रिय या निष्क्रिय करने का चयन करें।
सक्षम होने पर टॉगल हरा होता है।
-
-
AD डोमेन में यदि उपयोगकर्ता अब आयातित डायरेक्टरी सेवा समूहों में मौजूद नहीं है के लिए व्यवहार परिभाषित करें:
-
निष्क्रिय करें CMA में उपयोगकर्ता
-
हटाएं CMA से उपयोगकर्ता
-
-
(वैकल्पिक) LDAP सिंक के दौरान अधिक उपयोगकर्ताओं को हटाने से रोकने के लिए सेटिंग्स को कस्टमाइज करें:
-
LDAP सिंक के दौरान कितने उपयोगकर्ता हटाए जा सकते हैं इसे बदलने के लिए, उपयोगकर्ताओं में, हटाए गए उपयोगकर्ताओं की अधिकतम संख्या दर्ज करें।
-
LDAP सिंक के दौरान कितने उपयोगकर्ताओं को हटाया जा सकता है की सीमा हटाने के लिए, इस सेटिंग को
निष्क्रिय करें।
-
-
लागू करें पर क्लिक करें और फिर सहेजें पर क्लिक करें।
डोमेन को आपके खाता के साथ उपयोगकर्ता और समूहों को समन्वयित करने के लिए कॉन्फ़िगर किया गया है।
उपयोगकर्ताओं और समूहों को AD सर्वर और CMA के बीच मैन्युअल रूप से सिंक्रनाइज़ करने के लिए अभी समन्वयित करें सुविधा का उपयोग करें। एकाधिक डोमेन्स वाले खातों के लिए, CMA सभी डोमेन्स को एक साथ सिंक्रनाइज़ करता है क्योंकि डोमेन्स के बीच विश्वसनीयता निर्भरताएँ हो सकती हैं।
यहाँ तक कि जब आप उम्मीदवार परिवर्तन की समीक्षा करते हैं और सबमिट पर क्लिक करते हैं, सभी सबमिट किए गए परिवर्तन जरूरी नहीं कि लागू हों। CMA प्रत्येक परिवर्तन को मान्य करता है इससे पहले कि उपयोगकर्ताओं और समूहों को बनाया या अपडेट किया जाए। उदाहरण के लिए, परिवर्तन विफल हो सकता है यदि उसी नाम के साथ मैन्युअल समूह पहले से मौजूद है। आप घटनाएँ पृष्ठ पर प्रत्येक इच्छित परिवर्तन के परिणाम की समीक्षा कर सकते हैं।
नोट
नोट: घटनाएँ पृष्ठ को परिवर्तन के साथ अपडेट करने में कुछ मिनट लग सकते हैं।
सभी डोमेनों के लिए डायरेक्टरी सेवाओं को मैन्युअल रूप से समन्वयित करने के लिए:
-
नेविगेशन मेनू से, पहुंच > डायरेक्टरी सेवाएं पर क्लिक करें।
-
LDAP अनुभाग या टैब में, अभी समन्वयित करें पर क्लिक करें।
-
मैनुअल LDAP सिंक विंडो खुलती है और उपयोगकर्ताओं और समूहों में संभावित परिवर्तनों को दिखाती है। परिवर्तनों की समीक्षा करें और जमा करें पर क्लिक करें।
-
एक पुष्टिकरण पृष्ठ संकेत देता है कि अनुरोध जमा कर दिया गया था और इसमें सिस्टम इवेंट और उप-प्रकार के लिए पहले से फ़िल्टर किए गए घटनाएँ पृष्ठ का लिंक शामिल है।
-
यदि सिंक सफल होता है, तो उप-प्रकार LDAP प्रोविजनिंग के साथ एक सिस्टम इवेंट उत्पन्न होता है, जिसमें संदेश समान होता है:
उपयोगकर्ता 'x' बनाया गया था
-
यदि सिंक विफल होता है, तो एक ही उप-प्रकार के साथ सिस्टम इवेंट उत्पन्न होता है, जिसमें संदेश समान होता है:
उपयोगकर्ता को सहेजने में विफल
-
यदि आप प्रस्तुत किए गए संभावित परिवर्तनों की फिर से खोज करना चाहते हैं, तो एक संदेश समान वाले डायरेक्टरी सेवाओं के उप-प्रकार के साथ सिस्टम घटनाओं की खोज करें:
'x' संभावित परिवर्तन को प्रस्तुत किया गया था
-
निम्नलिखित उदाहरण में, आप देख सकते हैं कि 3 संभावित परिवर्तन मैन्युअल रूप से प्रस्तुत किए गए थे।
परिवर्तन सफलतापूर्वक जमा किए गए, और घटनाएँ पृष्ठ की जाँच करने पर, आप देख सकते हैं कि जेन फिलिप्स को सफलतापूर्वक बनाया गया था:
हालाँकि, जॉन डो को नहीं बनाया जा सका क्योंकि उसी ईमेल के साथ मैन्युअल रूप से बनाया गया उपयोगकर्ता खाते में पहले से मौजूद है।
जब डोमेन्स और DC की अब आवश्यकता नहीं होती है तो आप उन्हें हटा सकते हैं।
नोट
नोट: जब आप किसी डोमेन या DC को हटाते हैं, इसके उपयोगकर्ता अब डोमेन से जुड़े नहीं होते और उन्हें Cato Users लेबल किया जाता है। यदि आप उसी या किसी अन्य डोमेन से एक ही उपयोगकर्ताओं को जोड़ते हैं, तो वे सिस्टम में डुप्लिकेट हो जाते हैं। एक बार Cato Users के रूप में और एक बार डोमेन के तहत।
डोमेन को हटाने के लिए:
-
नेविगेशन मेनू से, पहुँच > डायरेक्टरी सेवाएं पर क्लिक करें।
-
LDAP अनुभाग या टैब में, डोमेन की पंक्ति में
पर क्लिक करें।
-
सहेजें पर क्लिक करें। डोमेन आपके खाते से हटा दिया गया है।
डोमेन नियंत्रक को हटाने के लिए:
-
नेविगेशन मेनू से, पहुँच > डायरेक्टरी सेवाएं पर क्लिक करें।
-
LDAP खंड या टैब में, डोमेन संपादित करें।
डायरेक्टरी सेवा संपादित करें पैनल खुलता है।
-
नया डायरेक्टरी सेवा पैनल के नेविगेशन मेनू में, डोमेन नियंत्रक पर क्लिक करें।
-
DC के साथ पंक्ति में,
-
लागू करें पर क्लिक करें और फिर सहेजें पर क्लिक करें। DC डोमेन से हटा दिया गया है।
0 टिप्पणियां
लेख टिप्पणियों के लिए उपलब्ध नहीं है.