Este artigo explica como configurar a Consciência do Usuário para fornecer melhor visibilidade para usuários do AD em redes internas.
O Aplicativo de Gerenciamento Cato permite identificar facilmente usuários remotos conectados à sua rede corporativa porque o usuário autenticou no Cliente Cato. No entanto, para usuários atrás de um site, eles não estão se conectando com um Cliente e é possível ver apenas o endereço IP ou o nome do computador. É difícil usar análises para esses internos sem informações pessoais, como nome e sobrenome. O recurso de Consciência do Usuário integra-se com o Active Directory (AD) para correlacionar o endereço IP e o nome de usuário. Os Pops podem consultar os logs de login do DC e mapear usuários ao endereço IP de seus computadores. Os dados do usuário são quase em tempo real, com um atraso de apenas 30 segundos. A Consciência do Usuário permite que a janela de Topologia e as análises mostrem os nomes dos usuários internos e não apenas o endereço IP.
Você deve configurar os Serviços de Diretório para o domínio antes de ativar a Consciência do Usuário. Para mais informações sobre como configurar os Serviços de Diretório, consulte Provisionamento de Usuários com LDAP.
Certifique-se de que a política de auditoria esteja configurada com os IDs de Evento que a Consciência do Usuário utiliza no log de segurança do Windows para mapear os usuários aos endereços IP. Para mais informações, veja Resolução de Problemas dos Serviços de Diretório e Erros e Problemas de Consciência do Usuário.
As seções a seguir explicam como configurar a Consciência do Usuário para sites IPsec que estão atrás de um firewall de terceiros. Se você não tiver um site IPsec, continue abaixo com Definindo Controladores de Domínio em Tempo Real.
A sincronização de Consciência do Usuário usa um endereço IP fixo para o Intervalo do Sistema. Clientes que usam firewall de terceiros para controlar o acesso aos seus DCs, devem atualizar as configurações do firewall para permitir este endereço IP para todas as portas e serviços. O endereço IP usado para a sincronização da Consciência do Usuário é diferente para contas que usam o intervalo do sistema padrão ou um intervalo do sistema personalizado.
Para mais sobre intervalos padrão e personalizados para servidores DNS na Cato Cloud, veja: Manejo de Fluxos de DNS na Cato Cloud.
O intervalo do sistema padrão reservado para Cato Networks é 10.254.254.0/24. Para contas que usam esse intervalo padrão, o endereço IP fixo para a sincronização da Consciência do Usuário é: 10.254.254.12.
Para contas que usam um intervalo do sistema personalizado em vez do padrão, use o intervalo personalizado para calcular o endereço IP fixo para a sincronização com base na Consciência do Usuário. O endereço IP fixo é o 9º no intervalo personalizado. Por exemplo, se o intervalo reservado personalizado for 10.10.10.0/16, então o endereço IP fixo é 10.10.10.9.
Para contas que usam um intervalo de IP menor, ainda usam o 9º no intervalo personalizado. Por exemplo, se o intervalo reservado personalizado for 10.200.200.64/28, então o endereço IP fixo é 10.200.200.73 (10.200.200.64 + x.x.x.9).
A Consciência do Usuário detecta pelo menos 4 usuários diferentes fazendo login no mesmo dispositivo em um Período de Tempo de 2 Horas, o dispositivo é considerado um host compartilhado. Regras de Firewall e de Rede para o Grupo de Usuários Todos os Hosts Compartilhados ou o Endereço IP do Host se aplicam aos Usuários SDP conectados ao Host compartilhado, não a Regra para o Usuário SDP.
Defina os controladores WMI no Controlador de Domínio (DC) que monitoram consultas WMI em tempo real.
Para ADs que estão atrás de um site, certifique-se de definir o Controlador de Domínio (DC) como um host para esse site (Redes > Configurações do Site > Host).
Nota
Nota: Para contas com múltiplos DCs, você deve adicionar todos os DCs que eventos de login aos Controladores de Domínio em Tempo Real.
Para definir Controladores de Domínio em Tempo Real:
-
No menu de navegação, clique em Acesso > Consciência do Usuário.
-
Na seção ou guia Controladores de Domínio em Tempo Real, clique em Novo.
O painel Adicionar Controlador de Domínio em Tempo Real é aberto.
-
No menu suspenso Controlador de Domínio, selecione o domínio AD.
-
Defina as configurações de conexão com o DC dependendo de sua localização:
-
Para DCs em um host definido atrás de um site, selecione Host Interno, e então selecione o host estático para o servidor LDAP
-
Para Controladores de Domínio que não estão atrás de um site, selecione IP Externo ou Domínio, e digite o Endereço IP ou domínio para o Controlador de Domínio
Nota
Nota: Você deve usar um Endereço IP público para o Controlador de Domínio.
-
-
Digite o Nome de Usuário e a Senha para o usuário do AD.
-
Clique em OK. O Controlador de Domínio em Tempo Real é adicionado às configurações de Consciência do Usuário e enviado para a Cato Cloud.
-
Repita os passos anteriores para cada Controlador de Domínio.
Após definir um Controlador de Domínio em Tempo Real, teste o status da conexão para garantir que o Aplicativo de Gerenciamento Cato e a Cato Cloud possam se conectar ao Controlador de Domínio.
Uma janela pop-up mostra se a conexão foi bem-sucedida ou se a Cato Cloud falhou ao conectar ao Controlador de Domínio.
Nota
Nota: Você só pode testar o status da conexão do Controlador de Domínio para um Controlador de Domínio que é um host predefinido atrás de um site.
Para testar o status da Conexão do Controlador de Domínio em Tempo Real:
-
No menu de navegação, clique em Acesso > Consciência do Usuário.
-
Em Controladores de Domínio em Tempo Real, na coluna de Conexão para o domínio, clique em Testar Conexão.
A janela pop-up mostra os resultados do teste de conexão.
Defina quais Grupos AD para o domínio são sincronizados com sua conta Cato para Consciência do Usuário. Você também pode escolher se deseja sincronizar automaticamente o AD todos os dias, ou apenas realizar a sincronização manualmente. As configurações de sincronização para Consciência do Usuário devem ser as mesmas para todos os domínios em sua conta.
Quando grupos ou usuários do AD são removidos do domínio, eles são desativados em sua conta a menos que sejam usados em regras ou grupos. For more about synchronization setting for Directory Services see Provisioning Users with SCIM and LDAP.
Selecione os Grupos AD no domínio que contêm os usuários que são sincronizados para Consciência do Usuário, e defina as configurações de sincronização diária para eles.
Os usuários são sincronizados para sua conta Cato somente se um Controlador de Domínio em Tempo Real estiver configurado, ou se o Agente de Identidade estiver habilitado (Acesso > Consciência do Usuário > Agente de Identidade).
O atributo sAMAaccountName é usado para o nome do Grupo de Usuários no Aplicativo de Gerenciamento Cato.
Para definir os grupos AD que são sincronizados com Consciência do Usuário:
-
No menu de navegação, clique em Acesso > Serviços de Diretório.
-
Selecione a aba ou seção LDAP e clique no domínio.
Painel é aberto.
-
No menu de navegação do painel, selecione Grupos de Usuários.
Grupos aninhados são sincronizados se você selecionar o grupo pai
-
Selecione os Grupos AD para Consciência do Usuário.
Nota: Se nenhum grupo for selecionado, todos os Grupos AD serão importados para Consciência do Usuário.
-
Para sincronizar automaticamente os grupos de Consciência do Usuário, habilite
Sincronização diária dos Grupos de Consciência do Usuário.
-
Clique em Aplicar.
0 comentário
Artigo fechado para comentários.