A seção Configurações do Serviço de Diretório permite configurar as configurações para sincronizar usuários entre sua conta e domínios LDAP, como Active Directory (AD).
Nota
Nota: Você precisa permitir na lista os Endereços IP para o Aplicativo de Gerenciamento Cato (CMA), que é o IP de origem para o serviço Cato LDAP, veja Usando Endereços IP Cato (você deve estar logado para visualizar este artigo).
Este é o fluxo de trabalho para usar Serviços de Diretório para integrar um domínio LDAP à sua conta Cato:
Quando você adiciona um domínio LDAP à sua conta, é necessário adicionar uma Conexão do Serviço de Diretório ao CMA. Cada domínio e subdomínio em sua organização precisa de uma conexão separada na janela Configurações do Serviço de Diretório. Por exemplo, se sua conta possui os domínios sample.com, alpha.sample.com e example.com, então você precisa criar três conexões em Configurações do Serviço de Diretório.
Para o domínio Senha, o comprimento máximo de uma senha é de 48 caracteres.
Quando você insere os nomes distintos (DNs) para o domínio:
-
DN de Login refere-se ao objeto na hierarquia de diretório LDAP para o Administrador
-
DN Base refere-se ao objeto na hierarquia de diretório LDAP para os usuários e grupos que o Administrador está sincronizando com o Cato
Mudanças nos usuários LDAP no Controlador de Domínio podem acionar um número alto de modificações de usuários no CMA. Para reduzir o risco de erros, você pode optar por limitar o número de mudanças feitas em cada sincronização das seguintes maneiras:
-
Prevenir remoção ou desativação de usuários: Você pode limitar o número de usuários que são removidos ou desativados.
-
Prevenir atualização de associação em grupos: Se uma sincronização LDAP altera a associação de grupo de usuários de 1500 ou mais usuários, o Active Directory on-premise da Microsoft pode remover os usuários do grupo. Para evitar isso, você pode personalizar o número máximo de usuários que podem mudar a associação do grupo de usuário em uma única sincronização. Para mais informações, veja Resolução de Problemas de Serviços de Diretório e Erros de Consciência do Usuário
-
Atualizar e-mails dos usuários: Você pode limitar o número de endereços de e-mail de usuários que são atualizados.
Se o limite for excedido, a próxima sincronização LDAP falhará e um evento com o Subtipo Serviços de Diretório é criado.
Nota
Nota: Se um usuário for desativado e depois reativado no seu AD, pode ser necessário desinstalar e reinstalar o Cliente Cato para se conectar à rede.
Se você alterar o caminho para um Grupo no seu Controlador de Domínio, também deve atualizar o DN Base no CMA.
Caso você não atualize o CMA para o novo caminho, Grupos de Usuários que foram movidos não estão mais incluídos nas sincronizações e são deletados. Esses Grupos de Usuários não estão mais visíveis na página de Grupos de Usuários. Grupos de Usuários apagados ainda estão visíveis nas políticas e marcados como deletados e a política não é aplicada ao Grupo de Usuários. Licenças SDP são removidas de usuários dentro do grupo de usuários provisionado LDAP apagado e não podem mais se conectar à rede. Se os usuários precisarem se conectar à rede, então é necessário reatribuir licenças SDP a eles.
Para adicionar um domínio ao CMA:
-
No menu de navegação, clique em Acesso > Serviços de Diretório.
-
Na seção ou aba LDAP, e clique em Novo.
O painel Novo Serviço de Diretório LDAP abre.
-
Selecione o Provedor LDAP.
Apenas um provedor LDAP pode ser selecionado.
-
Na seção Descrição de Autenticação LDAP, configure o DN de Login:
-
Para AD no local, use o Nome Distinto (DN) da conta do AD
-
Para um Azure AD, use o Nome Principal do Usuário (UPN) da conta de AD
-
-
Digite o DN de Login e o DN Base.
-
Digite a Senha para o usuário CN que você criou para a conexão dos Serviços de Diretório.
-
Para domínios LDAP que usam uma conexão SSL, selecione Criptografia.
O domínio é adicionado ao CMA. Configure os Controladores de Domínio para o domínio.
-
Selecione suas Configurações de Sincronização de Usuários SDP.
Adicione o Controlador de Domínio (DC) que está associado ao servidor LDAP ao domínio de Serviços de Diretório.
Para servidores LDAP que estão por trás de um site, você pode adicionar o Controlador de Domínio usando o Endereço IP ou como um host que está definido para um site (Rede > Sites > {site name} > Configurações do Site > Hosts).
Para servidores que são externos e usam um endereço IP público, você pode definir o DC usando um endereço IP ou o domínio.
Permitindo IPs da Cato
Para garantir que o tráfego possa atingir seus serviços AD, coloque na lista de permissões os Endereços IP listados em Usando IPs da Cato (você deve estar logado para visualizar este artigo). O tráfego de e para esses Endereços IP é roteado dentro do túnel Cato.
Certifique-se de que firewalls ou dispositivos de roteamento estejam configurados corretamente para as seguintes implantações:
-
O DC está atrás de um site IPsec (em vez de um Socket)
-
Todo o tráfego não é roteado para o Socket
Para adicionar um controlador de domínio:
-
No menu de navegação do painel Novo Serviço de Diretório LDAP, clique em Controladores de Domínio.
-
Defina as configurações de conexão para o DC dependendo de sua localização:
-
Para DCs em um anfitrião definido atrás de um site, selecione Host Interno, e então selecione o anfitrião estático para o servidor LDAP
-
Para DCs que usam um endereço IP interno, selecione IP Interno e insira o endereço IP para o DC
-
Para DCs que não estão atrás de um site, selecione IP Externo ou Domínio, e insira o endereço IP ou domínio para o DC
-
-
Clique em Adicionar.
-
Para implantações com múltiplos DCs, repita os passos anteriores para adicionar cada DC.
-
Clique em Salvar e Fechar.
Após definir o domínio e adicionar o Controlador de Domínio, recomendamos que você teste a Conectividade entre o domínio e o CMA.
O CMA automaticamente testa a Conectividade com todos os Controladores de Domínio para o domínio e mostra os resultados para cada Controlador de Domínio.
Se o teste de conectividade não for bem-sucedido, consulte Resolução de Problemas de Serviços de Diretório e Erros e Problemas de Consciência do Usuário para obter recomendações de solução de problemas.
Para testar a conectividade com o domínio:
-
Na coluna Conexão para o domínio, clique em Testar Conexão. O CMA mostra os resultados do teste de Conectividade.
Depois de adicionar os DCs, configure as configurações que definem como sincronizar os usuários nos grupos LDAP.
-
Se você estiver usando Serviços de Diretório e precisar modificar o número de celular de um usuário para MFA, modifique apenas o número de telefone no diretório LDAP
-
Selecione os Grupos LDAP que estão sincronizados com sua conta.
-
Ative ou desative a sincronização automática dos usuários a cada dia.
-
Defina o comportamento para usuários que são removidos do Grupo LDAP - para Desativá-los ou removê-los do CMA.
Selecione os grupos LDAP para serem sincronizados na sua conta.
Para selecionar os grupos AD que são importados para sua conta:
-
No painel Novo Serviço de Diretório LDAP, clique em Grupos de Usuários.
-
No menu suspenso Selecionar Grupos de Usuários, selecione os grupos que você está sincronizando com sua conta.
Nota: Se nenhum grupo for selecionado, todo o Active Directory será importado.
Configure as Configurações de Sincronização para este domínio (veja abaixo).
Uma vez que usuários estão sincronizados em sua conta, você pode atribuir a eles Licenças SDP e aplicar Políticas que são aplicadas onde quer que o usuário se conecte. Para mais informações sobre atribuir Licenças SDP, veja Atribuir Licenças SDP aos Usuários.
Você pode habilitar sua conta para sincronizar automaticamente a cada dia com o diretório LDAP, e atualizar os grupos e usuários no CMA para corresponder com aqueles no domínio.
Você pode ver quais usuários foram importados e quais foram criados manualmente na coluna Nome do Diretório - usuários importados aparecem com o nome do diretório LDAP e os criados manualmente aparecem como Manual. Você também pode filtrar por um nome de diretório, ou para ver todos os usuários adicionados manualmente em seu sistema.
Cato inicia a sincronização automática diária de LDAP para todas as contas às 12:00 am UTC. Cato realiza a sincronização uma conta de cada vez, e pode levar várias horas para completar a sincronização diária de todas as contas. Se a opção Sincronização Diária de Grupos de Usuários SDP estiver desativada após 12:00 am, mas antes de Cato iniciar a sincronização LDAP, então a sincronização automática será ignorada até a próxima janela de tempo quando a opção estiver ativada.
Nota
Nota: Para contas com múltiplos domínios, as configurações de sincronização devem ser as mesmas para todos os domínios em sua conta. Caso contrário, podem surgir problemas relacionados a possíveis dependências de confiança entre os diferentes domínios.
Usuários que Não Existem Mais em Grupos de Serviço de Diretório
A configuração Se o usuário não existir mais em grupos de Serviço de Diretório importados permite que você defina o comportamento de sincronização quando usuários ou grupos são excluídos do servidor LDAP ou foram expirados ou desativados. Você pode escolher entre as seguintes opções:
-
Desativar - os usuários são desativados e não podem se conectar à Nuvem Cato. O usuário permanece nos Grupos de Usuários dos quais era membro
-
Remover - as contas de usuários são removidas do CMA, incluindo dos Grupos de Usuários aos quais pertenciam
Quando grupos ou usuários são removidos do servidor LDAP, mas são usados por um objeto ou regra no CMA, este é o comportamento de sincronização:
-
Os usuários são desativados em vez de excluídos
-
Os grupos são marcados como não mais sincronizados
-
Os grupos ou usuários são etiquetados como Manual em vez de LDAP
-
Por padrão, o CMA impede que contas excluam ou desativem mais de 100 usuários como parte da sincronização LDAP. No início da sincronização LDAP, se a sincronização for excluir ou desativar mais de 100 usuários (para a configuração padrão), então a sincronização é cancelada e uma notificação por email é enviada. Você pode desativar a prevenção de excluir ou desativar usuários, ou alterar o número máximo de usuários excluídos por sincronização LDAP.
Configure as configurações para a sincronização entre o domínio e sua conta Cato. Você escolhe habilitar uma sincronização automática diária e o comportamento quando um usuário é removido de um Grupo de Serviços de Diretório.
Para configurar as configurações de sincronização para um domínio:
-
Gerencie as configurações de sincronização automática:
-
No painel Novo Serviço de Diretório LDAP, selecione Grupos de Usuários.
-
Na seção Grupos de Usuários, selecione para habilitar ou desabilitar Sincronização Diária de Grupos de Usuários.
O alternador fica verde quando ativado.
-
-
Defina o comportamento Se o usuário não existe mais nos grupos de Serviços de Diretório importados no domínio AD:
-
Desabilitar o usuário no CMA
-
Remover o usuário do CMA
-
-
(Opcional) Personalize a configuração para Prevenir a exclusão de mais de um número de usuários durante a sincronização LDAP:
-
Para mudar quantos usuários podem ser excluídos durante a sincronização LDAP, em usuários, digite o número máximo de usuários excluídos.
-
Para remover o limite de quantos usuários podem ser excluídos durante a sincronização LDAP, desative
essa configuração.
-
-
Clique em Aplicar e, em seguida, clique em Salvar.
O domínio está configurado para sincronizar usuários e grupos com sua conta.
Use o recurso Sincronizar Agora para sincronizar manualmente usuários e grupos entre o servidor AD e o CMA. Para contas com múltiplos domínios, o CMA sincroniza todos os domínios simultaneamente porque podem haver dependências de confiança entre os domínios.
Mesmo após revisar as alterações candidatas e clicar em Enviar, nem todas as alterações enviadas são necessariamente aplicadas. O CMA valida cada alteração antes de criar ou atualizar usuários e grupos. Por exemplo, uma alteração pode falhar se um grupo manual com o mesmo nome já existir. Você pode revisar os resultados de cada alteração processada na página Eventos.
Nota
Nota: Pode levar alguns minutos para a página de Eventos ser atualizada com as alterações.
Para sincronizar manualmente os Serviços de Diretório para todos os domínios:
-
No menu de navegação, clique em Acesso > Serviços de Diretório.
-
Na seção ou aba LDAP, clique em Sincronizar Agora.
-
A janela de Sincronização LDAP Manual abre e mostra as alterações potenciais para usuários e grupos. Revise as alterações e clique em Enviar.
-
Uma página de confirmação indica que a solicitação foi enviada e inclui um link para a página de Eventos, já filtrada para o evento de sistema relevante e sub-tipo.
-
Se a sincronização for bem-sucedida, um evento de sistema com o sub-tipo LDAP Provisioning é gerado com uma mensagem similar a:
Usuário 'x' foi criado
-
Se a sincronização falhar, um evento de sistema com o mesmo sub-tipo é gerado com uma mensagem similar a:
Falha ao salvar usuário
-
Se você quiser novamente procurar por alterações potenciais que foram enviadas, procure eventos do sistema com o sub-tipo Serviços de Diretório que tenham uma mensagem similar a:
'x' mudança(s) potencial(is) foi/foram enviada(s)
-
No exemplo seguinte, você pode ver que 3 alterações potenciais foram enviadas manualmente.
As alterações foram enviadas com sucesso, e ao verificar a página de Eventos, você pode ver que Jane Phillips foi criada com sucesso:
No entanto, John Doe não pôde ser criado porque um usuário criado manualmente com esse email já existe na conta.
Você pode excluir domínios e controladores de domínio quando não forem mais necessários.
Nota
Nota: Quando você exclui um domínio ou DC, seus usuários não estão mais associados ao domínio e são rotulados como Usuários Cato. Se você adicionar os mesmos usuários do mesmo, ou de um diferente, domínio, eles são duplicados no sistema. Uma vez como Usuários Cato e outra sob o domínio.
Para excluir um domínio:
-
No menu de navegação, clique em Acesso > Serviços de Diretório.
-
Na seção ou aba LDAP, na linha do domínio clique
.
-
Clique em Salvar. O domínio foi excluído da sua conta.
Para excluir um controlador de domínio:
-
No menu de navegação, clique em Acesso > Serviços de Diretório.
-
Na seção ou aba LDAP, edite o domínio.
O painel Editar Serviço de Diretório LDAP abre.
-
No menu de navegação do painel Novo Serviço de Diretório LDAP, clique em Controladores de Domínio.
-
Na linha com o DC, clique
-
Clique em Aplicar e, em seguida, clique em Salvar. O controlador de domínio foi excluído do domínio.
0 comentário
Artigo fechado para comentários.