Внедрение управления учетными записями пользователей LDAP

Раздел Настройки службы каталогов позволяет настроить параметры для синхронизации пользователей между вашей учетной записью и доменами LDAP, такими как Active Directory (AD).

Примечание

Примечание: Вам необходимо внести в список разрешенных IP-адреса для Приложение Управления Cato (CMA), которое является исходным IP для службы Cato LDAP, см. Использование Cato IP Адресов (необходимо войти в систему для просмотра этой статьи).

Общий процесс настройки домена

Это рабочий процесс использования служб каталогов для интеграции LDAP-домена с вашей учетной записью Cato:

  1. Добавление домена в Приложение Управления Cato

  2. Добавление контроллера домена

  3. Синхронизация домена с вашей учетной записью Cato

Добавление домена в CMA

Когда вы добавляете домен LDAP в свою учетную запись, необходимо добавить соединение службы каталогов в Приложение Управления Cato. Каждому домену и дочернему домену в вашей организации требуется отдельное соединение в окне Настройки службы каталогов. Например, если ваша учетная запись включает домены sample.com, alpha.sample.com и example.com, то необходимо создать три соединения в Настройки службы каталогов.

Для домена Пароль максимальная длина пароля составляет 48 символов.

При вводе различных имен (DNs) для домена:

  • Имя входа DN относится к объекту в иерархии LDAP-реестра для администратора

  • Базовый DN относится к объекту в иерархии LDAP-реестра для пользователей и групп, с которыми администратор синхронизируется с Cato

Понимание настроек синхронизации пользователя

Изменения пользователей LDAP на Контроллере домена могут вызвать большое количество изменений пользователей в Приложение Управления Cato. Чтобы уменьшить риск ошибок, вы можете ограничить количество изменений, внесенных в каждую синхронизацию следующими способами:

  • Предотвратить удаление или отключение пользователей: Вы можете ограничить количество удаленных или отключенных пользователей.

  • Предотвратить обновление группы: Если синхронизация LDAP изменяет состав группы пользователей для 1500 или более пользователей, Microsoft локальный Active Directory может удалить пользователей из группы. Чтобы предотвратить это, вы можете настроить максимальное количество пользователей, которые могут изменить состав группы пользователей в одной синхронизации. Для получения дополнительной информации см. раздел Устранение ошибок служб каталогов и осведомленности пользователя

  • Обновление электронных адресов пользователей: Вы можете ограничить количество обновленных адресов электронной почты пользователей.

Если лимит превышен, следующая синхронизация LDAP не удастся и создастся событие с подтипом Службы каталогов.

Примечание

Примечание: Если пользователь будет отключен, а затем повторно включен в вашем AD, возможно потребуется удаление и повторная установка Клиента Cato для подключения к сети.

Изменение пути к группе в контроллере доменов

Если вы измените путь к Группе в вашем Контроллере домена, также необходимо обновить Базовый DN в Приложение Управления Cato.

Если вы не обновите CMA до нового пути, пользовательские группы, которые были перемещены, больше не будут включены в синхронизацию и будут удалены. Эти пользовательские группы больше не видны на странице Группы пользователей. Удаленные пользовательские группы все еще видны в политиках и отмечены как удаленные, и политика не применяется к пользовательской группе. Лицензии SDP удаляются из пользователей в удаленной LDAP-группе пользователей и больше не могут подключаться к сети. Если пользователям необходимо подключиться к сети, необходимо заново назначить лицензию SDP.

Добавление домена в CMA

New_DirectorySevice.png

Чтобы добавить домен в Приложение Управления Cato:

  1. В меню навигации нажмите Доступ > Службы каталогов.

  2. На вкладке или в разделе LDAP нажмите Добавить.

    Открывается панель Новая служба каталогов.

  3. Выберите Поставщик служб каталогов LDAP.

    Можно выбрать только одного поставщика LDAP.

  4. В разделе Описание аутентификации LDAP настройте Имя входа DN:

    • Для локального AD используйте Различительное Имя (DN) учетной записи AD

    • Для Azure AD используйте Имя участника-пользователя (UPN) учетной записи AD

  5. Введите Имя входа DN и Базовый DN.

  6. Введите Пароль для пользователя CN, которого вы создали для подключения к Службам каталогов.

  7. Для LDAP-доменов, использующих SSL-соединение, выберите Шифрование.

    Домен добавлен в Приложение Управления Cato. Настройте контроллеры доменов для домена.

  8. Выберите ваши Настройки синхронизации пользователей SDP.

Добавление контроллера доменов

Добавьте контроллер домена (DC), который связан с сервером LDAP, в домен служб каталогов.

Для LDAP-серверов, которые находятся за сайтом, вы можете добавить контроллер домена, используя IP-адрес или как хост, определённый для сайта (Сеть > Площадки > {site name} > Настройки Сайта > Хосты).

Для внешних серверов с публичным IP-адресом можно определить DC, используя IP-адрес или домен.

Добавление в список разрешенных IP-адресов Cato

Чтобы обеспечить возможность прохода трафика к вашим службам AD, добавьте в список разрешенных IP-адреса, указанные в Использование Cato IP Адресов (необходимо войти в систему для просмотра этой статьи). Трафик к и от этих IP-адресов направляется внутри туннеля Cato.

Убедитесь, что брандмауэры или устройства маршрутизации настроены правильно для следующих развертываний:

  • DC находится за площадкой IPsec (вместо Сокета)

  • Весь трафик не маршрутизируется на Сокет

Edit_DC.png

Чтобы добавить контроллер домена:

  1. В меню навигации панели Новая служба каталогов LDAP нажмите Контроллеры домена.

  2. Определите параметры подключения к DC в зависимости от его местоположения:

    • Для DC на хосте, определенном за площадкой, выберите Внутренний хост, а затем выберите статический хост для сервера LDAP

    • Для DC, использующих внутренний IP-адрес, выберите Внутренний IP и введите IP-адрес для DC

    • Для DC, не находящихся за площадкой, выберите Внешний IP или домен и введите IP-адрес или домен для DC

  3. Нажмите Добавить.

  4. Для развертываний с несколькими DC повторите предыдущие шаги, чтобы добавить каждый DC.

  5. Нажмите Сохранить и закрыть.

Тестирование соединения с доменом

После определения домена и добавления Контроллера домена, мы рекомендуем протестировать соединение между доменом и Приложение Управления Cato.

Приложение Управления Cato автоматически тестирует соединение со всеми Контроллерами домена для домена и отображает результаты для каждого Контроллера домена.

Если тест подключения не удался, см. статью Устранение неполадок службы каталогов и ошибок осведомленности пользователя для рекомендаций по устранению неполадок.

Чтобы протестировать подключение к домену:

  • В столбце Соединение для домена нажмите Проверить соединение. Приложение Управления Cato отображает результаты теста соединения.

Синхронизация домена с вашим аккаунтом Cato

После добавления контроллеров домена настройте параметры, определяющие, как синхронизировать пользователей в группах LDAP.

  • Если вы используете службы каталогов и вам нужно изменить номер мобильного телефона пользователя для MFA, измените номер телефона только в каталоге LDAP

Общий обзор настройки параметров службы каталогов для домена

  1. Выберите Группы LDAP, которые синхронизируются с вашей учетной записью.

  2. Включите или отключите автоматическую ежедневную синхронизацию пользователей.

  3. Определите поведение для пользователей, которые удалены из Группы LDAP - отключить или удалить их из Приложение Управления Cato.

Импорт групп Active Directory

Выберите группы LDAP для синхронизации с вашей учетной записью.

Чтобы выбрать группы AD, которые импортируются в вашу учетную запись:

  1. На панели Новая служба каталогов LDAP нажмите Группы пользователей.

  2. Из выпадающего списка Выбрать группы пользователей выберите группы, которые синхронизируются с вашей учетной записью.

    Примечание: Если группы не выбраны, импортируется весь Active Directory.

    Настройте параметры синхронизации для этого домена (см. ниже).

Назначение лицензий и применение политик

Как только пользователи синхронизированы с вашей учетной записью, вы можете назначить им Лицензии SDP и применять политики, которые будут действовать везде, где пользователь подключается. Для получения дополнительной информации о назначении лицензий SDP см. Назначение лицензий SDP пользователям.

Обзор параметров синхронизации

Вы можете включить вашу учетную запись для автоматической ежедневной синхронизации с LDAP и обновить группы и пользователей в CMA, чтобы они соответствовали тем, что в домене.

Вы можете увидеть, какие пользователи были импортированы и какие пользователи были созданы вручную в колонке Имя каталога - импортированные пользователи отображаются с именем LDAP каталога, а вручную созданные как Вручную. Вы также можете фильтровать по имени каталога или увидеть всех вручную добавленных пользователей в вашей системе.

Cato начинает ежедневную автоматическую синхронизацию LDAP для всех учетных записей в 12:00 утра по UTC. Cato выполняет синхронизацию по одной учетной записи за раз, и это может занять несколько часов для завершения ежедневной синхронизации всех учетных записей. Если опция Ежедневная синхронизация групп пользователей отключена после 12:00 утра, но перед началом синхронизации LDAP, тогда автоматическая синхронизация пропускается до следующего временного окна, когда опция будет включена.

Примечание

Примечание: для учетных записей с несколькими доменами настройки синхронизации должны быть одинаковыми для всех доменов в вашей учетной записи. В противном случае могут возникнуть проблемы, связанные с возможными зависимостями доверия между различными доменами.

Пользователи, которые больше не существуют в группах службы каталогов

Настройка Если пользователь больше не существует в импортированных группах службы каталогов позволяет вам определить поведение синхронизации когда пользователи или группы удаляются из LDAP сервера, или их срок действия истек, или они были отключены. Вы можете выбрать из следующих вариантов:

  • Отключить - пользователи отключены и не могут подключаться к Cato Cloud. Пользователь остается в тех группах пользователей, в которых он был членом

  • Удалить - учетные записи пользователей удаляются из Приложение Управления Cato, включая Группы пользователей, в которых они были членами

    Когда группы или пользователи удаляются с сервера LDAP, но они используются объектом или правилом в Приложение Управления Cato, это поведение синхронизации:

    • Пользователи отключаются вместо удаления

    • Группы помечаются как больше не синхронизируемые

    • Группы или пользователи помечаются как Вручную вместо LDAP

По умолчанию, CMA предотвращает учетные записи от удаления или отключения более чем 100 пользователей как часть синхронизации LDAP. В начале синхронизации LDAP, если синхронизация удалит или отключит более чем 100 пользователей (для настройки по умолчанию), то синхронизация отменяется и отправляется уведомление по электронной почте. Вы можете отключить предотвращение удаления или отключения пользователей, или изменить максимальное количество удаленных пользователей за одну синхронизацию LDAP.

Настройка параметров синхронизации службы каталогов

Настройте настройки синхронизации между доменом и вашей учётной записью Cato. Вы выбираете включение автоматической ежедневной синхронизации и поведение, когда пользователь удаляется из Группы службы каталогов.

Чтобы настроить параметры синхронизации для домена:

  1. Управляйте настройками автоматической синхронизации:

    1. На панели Новая служба каталогов LDAP выберите Группы пользователей.

    2. В разделе Группы пользователей выберите, чтобы включить или отключить Ежедневная синхронизация групп пользователей SDP.

      Переключатель становится зелёным, когда он включен.

  2. Определите поведение Если пользователь больше не существует в импортированных группах службы каталогов в домене AD:

    • Отключить пользователя в Приложение Управления Cato

    • Удалить пользователя из Приложение Управления Cato

  3. (Опционально) Настройте параметр, чтобы Предотвращение удаления более определённого количества пользователей во время синхронизации LDAP:

    • Чтобы изменить, сколько пользователей может быть удалено во время синхронизации LDAP, в пользователи введите максимальное количество удалённых пользователей.

    • Чтобы снять ограничение на количество пользователей, которые могут быть удалены во время синхронизации LDAP, отключите slider_disable.png эту настройку.

  4. Нажмите Применить, а затем нажмите Сохранить.

    Домен настроен для синхронизации пользователей и групп с вашей учётной записью.

Ручная синхронизация служб каталогов

Используйте Синхронизировать сейчас для ручной синхронизации пользователей и групп между сервером AD и CMA. Для аккаунтов с несколькими доменами, CMA синхронизирует все домены одновременно, потому что между доменами могут быть зависимости доверия.

Даже после проверки изменений и нажатия на Отправить, не все отправленные изменения применяются. CMA подтверждает каждое изменение перед созданием или обновлением пользователей и групп. Например, изменение может не произойти, если группа с таким же названием уже существует. Вы можете просмотреть результаты каждого изменения на странице События.

Примечание

Примечание: Обновление страницы События с изменениями может занять несколько минут.

Чтобы вручную синхронизировать службы каталогов для всех доменов:

  1. В меню навигации нажмите Доступ > Службы каталогов.

  2. В разделе или вкладке LDAP нажмите Синхронизировать сейчас.

  3. Окно ручной синхронизации LDAP открывается и отображает потенциальные изменения для пользователей и групп. Просмотрите изменения и нажмите Отправить.

  4. Страница подтверждения указывает, что запрос был отправлен и содержит ссылку на страницу События, уже отфильтрованную для соответствующего системного события и подтипа.

    • Если синхронизация прошла успешно, создается системное событие с подтипом LDAP Provisioning с похожим сообщением:

      Пользователь 'x' был создан

    • Если синхронизация завершилась неудачно, создается системное событие с тем же подтипом с похожим сообщением:

      Не удалось сохранить пользователя

    • Если вы хотите снова найти отправленные потенциальные изменения, ищите системные события с подтипом Службы каталогов, которые похожи на следующую запись:

      'x' потенциальных изменений было отправлено

Пример

В следующем примере видно, что 3 потенциальных изменения были отправлены вручную.

submit-ldap-sync.png

Изменения были успешно отправлены, и при проверке страницы События вы можете увидеть, что Джейн Филлипс была успешно создана:

ldap-sync-success.png

Однако Джона Доу не удалось создать, так как пользователь с этой электронной почтой уже существует в системе.

ldap-sync-failed.png

Удаление доменов и контроллеров доменов

Вы можете удалить домены и контроллеры доменов, когда они больше не нужны.

Примечание

Примечание: Когда вы удаляете домен или контроллер домена, его пользователи больше не связаны с доменом и обозначаются как пользователи Cato. Если вы добавите тех же пользователей из того же или другого домена, они будут дублированными в системе. Один раз как пользователи Cato и один раз в рамках домена.

Чтобы удалить домен:

  1. В меню навигации нажмите Доступ > Службы каталогов.

  2. В разделе или вкладке LDAP в строке домена нажмите Delete.png.

  3. Нажмите Сохранить. Домен удаляется из вашей учётной записи.

Чтобы удалить контроллер домена:

  1. В меню навигации нажмите Доступ > Службы каталогов.

  2. В разделе или вкладке LDAP отредактируйте домен.

    Панель Редактировать службу каталогов LDAP открывается.

  3. В меню навигации панели Новая служба каталогов LDAP нажмите Контроллеры домена.

  4. В строке с DC нажмите Delete.png.

  5. Нажмите Применить, а затем нажмите Сохранить. Контроллер домена удален из домена.

Управление несколькими доменами

Если в вашей организации более одного домена, вы можете определить соединения службы каталогов для каждого домена. Добавить и настроить новые домены в учетную запись.

Вы должны ввести пароль для каждого нового домена, который вы добавляете в учетную запись.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев