Раздел Настройки службы каталогов позволяет настроить параметры для синхронизации пользователей между вашей учетной записью и доменами LDAP, такими как Active Directory (AD).
Примечание
Примечание: Вам необходимо внести в список разрешенных IP-адреса для Приложение Управления Cato (CMA), которое является исходным IP для службы Cato LDAP, см. Использование Cato IP Адресов (необходимо войти в систему для просмотра этой статьи).
Это рабочий процесс использования служб каталогов для интеграции LDAP-домена с вашей учетной записью Cato:
Когда вы добавляете домен LDAP в свою учетную запись, необходимо добавить соединение службы каталогов в Приложение Управления Cato. Каждому домену и дочернему домену в вашей организации требуется отдельное соединение в окне Настройки службы каталогов. Например, если ваша учетная запись включает домены sample.com, alpha.sample.com и example.com, то необходимо создать три соединения в Настройки службы каталогов.
Для домена Пароль максимальная длина пароля составляет 48 символов.
При вводе различных имен (DNs) для домена:
-
Имя входа DN относится к объекту в иерархии LDAP-реестра для администратора
-
Базовый DN относится к объекту в иерархии LDAP-реестра для пользователей и групп, с которыми администратор синхронизируется с Cato
Изменения пользователей LDAP на Контроллере домена могут вызвать большое количество изменений пользователей в Приложение Управления Cato. Чтобы уменьшить риск ошибок, вы можете ограничить количество изменений, внесенных в каждую синхронизацию следующими способами:
-
Предотвратить удаление или отключение пользователей: Вы можете ограничить количество удаленных или отключенных пользователей.
-
Предотвратить обновление группы: Если синхронизация LDAP изменяет состав группы пользователей для 1500 или более пользователей, Microsoft локальный Active Directory может удалить пользователей из группы. Чтобы предотвратить это, вы можете настроить максимальное количество пользователей, которые могут изменить состав группы пользователей в одной синхронизации. Для получения дополнительной информации см. раздел Устранение ошибок служб каталогов и осведомленности пользователя
-
Обновление электронных адресов пользователей: Вы можете ограничить количество обновленных адресов электронной почты пользователей.
Если лимит превышен, следующая синхронизация LDAP не удастся и создастся событие с подтипом Службы каталогов.
Примечание
Примечание: Если пользователь будет отключен, а затем повторно включен в вашем AD, возможно потребуется удаление и повторная установка Клиента Cato для подключения к сети.
Если вы измените путь к Группе в вашем Контроллере домена, также необходимо обновить Базовый DN в Приложение Управления Cato.
Если вы не обновите CMA до нового пути, пользовательские группы, которые были перемещены, больше не будут включены в синхронизацию и будут удалены. Эти пользовательские группы больше не видны на странице Группы пользователей. Удаленные пользовательские группы все еще видны в политиках и отмечены как удаленные, и политика не применяется к пользовательской группе. Лицензии SDP удаляются из пользователей в удаленной LDAP-группе пользователей и больше не могут подключаться к сети. Если пользователям необходимо подключиться к сети, необходимо заново назначить лицензию SDP.
Чтобы добавить домен в Приложение Управления Cato:
-
В меню навигации нажмите Доступ > Службы каталогов.
-
На вкладке или в разделе LDAP нажмите Добавить.
Открывается панель Новая служба каталогов.
-
Выберите Поставщик служб каталогов LDAP.
Можно выбрать только одного поставщика LDAP.
-
В разделе Описание аутентификации LDAP настройте Имя входа DN:
-
Для локального AD используйте Различительное Имя (DN) учетной записи AD
-
Для Azure AD используйте Имя участника-пользователя (UPN) учетной записи AD
-
-
Введите Имя входа DN и Базовый DN.
-
Введите Пароль для пользователя CN, которого вы создали для подключения к Службам каталогов.
-
Для LDAP-доменов, использующих SSL-соединение, выберите Шифрование.
Домен добавлен в Приложение Управления Cato. Настройте контроллеры доменов для домена.
-
Выберите ваши Настройки синхронизации пользователей SDP.
Добавьте контроллер домена (DC), который связан с сервером LDAP, в домен служб каталогов.
Для LDAP-серверов, которые находятся за сайтом, вы можете добавить контроллер домена, используя IP-адрес или как хост, определённый для сайта (Сеть > Площадки > {site name} > Настройки Сайта > Хосты).
Для внешних серверов с публичным IP-адресом можно определить DC, используя IP-адрес или домен.
Добавление в список разрешенных IP-адресов Cato
Чтобы обеспечить возможность прохода трафика к вашим службам AD, добавьте в список разрешенных IP-адреса, указанные в Использование Cato IP Адресов (необходимо войти в систему для просмотра этой статьи). Трафик к и от этих IP-адресов направляется внутри туннеля Cato.
Убедитесь, что брандмауэры или устройства маршрутизации настроены правильно для следующих развертываний:
-
DC находится за площадкой IPsec (вместо Сокета)
-
Весь трафик не маршрутизируется на Сокет
Чтобы добавить контроллер домена:
-
В меню навигации панели Новая служба каталогов LDAP нажмите Контроллеры домена.
-
Определите параметры подключения к DC в зависимости от его местоположения:
-
Для DC на хосте, определенном за площадкой, выберите Внутренний хост, а затем выберите статический хост для сервера LDAP
-
Для DC, использующих внутренний IP-адрес, выберите Внутренний IP и введите IP-адрес для DC
-
Для DC, не находящихся за площадкой, выберите Внешний IP или домен и введите IP-адрес или домен для DC
-
-
Нажмите Добавить.
-
Для развертываний с несколькими DC повторите предыдущие шаги, чтобы добавить каждый DC.
-
Нажмите Сохранить и закрыть.
После определения домена и добавления Контроллера домена, мы рекомендуем протестировать соединение между доменом и Приложение Управления Cato.
Приложение Управления Cato автоматически тестирует соединение со всеми Контроллерами домена для домена и отображает результаты для каждого Контроллера домена.
Если тест подключения не удался, см. статью Устранение неполадок службы каталогов и ошибок осведомленности пользователя для рекомендаций по устранению неполадок.
Чтобы протестировать подключение к домену:
-
В столбце Соединение для домена нажмите Проверить соединение. Приложение Управления Cato отображает результаты теста соединения.
После добавления контроллеров домена настройте параметры, определяющие, как синхронизировать пользователей в группах LDAP.
-
Если вы используете службы каталогов и вам нужно изменить номер мобильного телефона пользователя для MFA, измените номер телефона только в каталоге LDAP
-
Выберите Группы LDAP, которые синхронизируются с вашей учетной записью.
-
Включите или отключите автоматическую ежедневную синхронизацию пользователей.
-
Определите поведение для пользователей, которые удалены из Группы LDAP - отключить или удалить их из Приложение Управления Cato.
Выберите группы LDAP для синхронизации с вашей учетной записью.
Чтобы выбрать группы AD, которые импортируются в вашу учетную запись:
-
На панели Новая служба каталогов LDAP нажмите Группы пользователей.
-
Из выпадающего списка Выбрать группы пользователей выберите группы, которые синхронизируются с вашей учетной записью.
Примечание: Если группы не выбраны, импортируется весь Active Directory.
Настройте параметры синхронизации для этого домена (см. ниже).
Как только пользователи синхронизированы с вашей учетной записью, вы можете назначить им Лицензии SDP и применять политики, которые будут действовать везде, где пользователь подключается. Для получения дополнительной информации о назначении лицензий SDP см. Назначение лицензий ZTNA пользователям.
Вы можете включить вашу учетную запись для автоматической ежедневной синхронизации с LDAP и обновить группы и пользователей в CMA, чтобы они соответствовали тем, что в домене.
Вы можете увидеть, какие пользователи были импортированы и какие пользователи были созданы вручную в колонке Имя каталога - импортированные пользователи отображаются с именем LDAP каталога, а вручную созданные как Вручную. Вы также можете фильтровать по имени каталога или увидеть всех вручную добавленных пользователей в вашей системе.
Cato начинает ежедневную автоматическую синхронизацию LDAP для всех учетных записей в 12:00 утра по UTC. Cato выполняет синхронизацию по одной учетной записи за раз, и это может занять несколько часов для завершения ежедневной синхронизации всех учетных записей. Если опция Ежедневная синхронизация групп пользователей отключена после 12:00 утра, но перед началом синхронизации LDAP, тогда автоматическая синхронизация пропускается до следующего временного окна, когда опция будет включена.
Примечание
Примечание: для учетных записей с несколькими доменами настройки синхронизации должны быть одинаковыми для всех доменов в вашей учетной записи. В противном случае могут возникнуть проблемы, связанные с возможными зависимостями доверия между различными доменами.
Пользователи, которые больше не существуют в группах службы каталогов
Настройка Если пользователь больше не существует в импортированных группах службы каталогов позволяет вам определить поведение синхронизации когда пользователи или группы удаляются из LDAP сервера, или их срок действия истек, или они были отключены. Вы можете выбрать из следующих вариантов:
-
Отключить - пользователи отключены и не могут подключаться к Cato Cloud. Пользователь остается в тех группах пользователей, в которых он был членом
-
Удалить - учетные записи пользователей удаляются из Приложение Управления Cato, включая Группы пользователей, в которых они были членами
Когда группы или пользователи удаляются с сервера LDAP, но они используются объектом или правилом в Приложение Управления Cato, это поведение синхронизации:
-
Пользователи отключаются вместо удаления
-
Группы помечаются как больше не синхронизируемые
-
Группы или пользователи помечаются как Вручную вместо LDAP
-
По умолчанию, CMA предотвращает учетные записи от удаления или отключения более чем 100 пользователей как часть синхронизации LDAP. В начале синхронизации LDAP, если синхронизация удалит или отключит более чем 100 пользователей (для настройки по умолчанию), то синхронизация отменяется и отправляется уведомление по электронной почте. Вы можете отключить предотвращение удаления или отключения пользователей, или изменить максимальное количество удаленных пользователей за одну синхронизацию LDAP.
Настройте настройки синхронизации между доменом и вашей учётной записью Cato. Вы выбираете включение автоматической ежедневной синхронизации и поведение, когда пользователь удаляется из Группы службы каталогов.
Чтобы настроить параметры синхронизации для домена:
-
Управляйте настройками автоматической синхронизации:
-
На панели Новая служба каталогов LDAP выберите Группы пользователей.
-
В разделе Группы пользователей выберите, чтобы включить или отключить Ежедневная синхронизация групп пользователей SDP.
Переключатель становится зелёным, когда он включен.
-
-
Определите поведение Если пользователь больше не существует в импортированных группах службы каталогов в домене AD:
-
Отключить пользователя в Приложение Управления Cato
-
Удалить пользователя из Приложение Управления Cato
-
-
(Опционально) Настройте параметр, чтобы Предотвращение удаления более определённого количества пользователей во время синхронизации LDAP:
-
Чтобы изменить, сколько пользователей может быть удалено во время синхронизации LDAP, в пользователи введите максимальное количество удалённых пользователей.
-
Чтобы снять ограничение на количество пользователей, которых можно удалить во время синхронизации LDAP, отключите
эту настройку.
-
-
Нажмите Применить, а затем нажмите Сохранить.
Домен настроен для синхронизации пользователей и групп с вашей учётной записью.
Используйте функцию Синхронизировать сейчас для ручной синхронизации групп и пользователей между сервером AD и Приложение Управления Cato. Для учетных записей с несколькими доменами, Приложение Управления Cato синхронизирует все домены одновременно (так как между доменами могут быть зависимости доверия).
Чтобы вручную синхронизировать службы каталогов для всех доменов:
-
В меню навигации нажмите Доступ > Службы каталогов.
-
В разделе или вкладке LDAP нажмите Синхронизировать сейчас.
-
Через короткое время откроется окно, подводящее итоги синхронизации. Если изменения были обнаружены, нажмите одну из кнопок:
-
Просмотреть изменения - для просмотра изменений перед выполнением обновлений.
-
Выполнить обновления - для выполнения синхронизации и обновления Приложение Управления Cato и серверов доменов.
-
Вы можете удалить домены и контроллеры доменов, когда они больше не нужны.
Примечание
Примечание: Когда вы удаляете домен или контроллер домена, его пользователи больше не связаны с доменом и обозначаются как пользователи Cato. Если вы добавите тех же пользователей из того же или другого домена, они будут продублированы в системе. Один раз как пользователи Cato и один раз в рамках домена.
Чтобы удалить домен:
-
В меню навигации нажмите Доступ > Службы каталогов.
-
На вкладке LDAP в строке домена нажмите
.
-
Нажмите Сохранить. Домен удаляется из вашей учётной записи.
Чтобы удалить контроллер домена:
-
В меню навигации нажмите Доступ > Службы каталогов.
-
В разделе или вкладке LDAP отредактируйте домен.
Панель Редактировать службу каталогов LDAP открывается.
-
В меню навигации панели Новая служба каталогов LDAP нажмите Контроллеры домена.
-
В строке с контроллером домена нажмите
-
Нажмите Применить, а затем нажмите Сохранить. Контроллер домена удален из домена.
0 комментариев
Статья закрыта для комментариев.