Синхронизация пользователей с LDAP

В этой статье мы объясним и покажем, как настроить ваш аккаунт Cato для работы с Active Directory (интеграция LDAP). Эта функция позволит вам извлекать пользователей и автоматически добавлять их в Приложение Управления Cato (CMA). Она НЕ аутентифицируется на сервере AD.

Атрибут sAMAccountName используется для имени группы пользователей в приложении управления Cato.

Синхронизация имеет две основные опции:

1. Синхронизация с локальным сервером AD

2. Синхронизация с внешним сервером AD

Понимание Настройки синхронизации пользователей

Изменения пользователей LDAP на контроллере домена могут вызывать множество изменений пользователей в приложении управления Cato. Чтобы снизить риск ошибок, можно ограничить количество изменений, сделанных в каждой синхронизации, следующими способами:

  • Предотвратить удаление или отключение пользователей: Вы можете ограничить количество пользователей, которые удаляются или отключаются.
  • Предотвратить обновление членства в группах: Если синхронизация LDAP изменяет членство в группах пользователей для 1500 или более пользователей, локальный Active Directory Microsoft может удалить пользователей из группы. Чтобы предотвратить это, вы можете настроить максимальное количество пользователей, которые могут изменить членство в группе пользователей за одну синхронизацию. Для получения дополнительной информации см. раздел Устранение ошибок служб каталогов и осведомленности пользователя
  • Обновить электронные письма пользователей: Вы можете ограничить количество адресов электронной почты пользователей, которые обновляются.

Если лимит превышен, то следующая синхронизация LDAP завершится сбоем, и создастся событие с подтипом Службы каталогов.

Примечание

Примечание: Группа, содержащая более 10000 участников, не может быть синхронизирована. 

Синхронизация локального сервера AD

Если синхронизация LDAP не работает должным образом, см. Устранение неисправностей синхронизации и предоставления LDAP.

Как синхронизировать локальный сервер AD (сервер за площадкой Cato):

  1. Добавить сервер AD на страницу Хосты сайта.

    1. Из навигационного меню выберите Сеть > Площадки, и выберите площадку.
    2. В меню навигации выберите Настройки Сайта > Хосты.
    3. Нажмите Новый и введите настройки для сервера AD.
    4. Нажмите Применить, а затем нажмите Сохранить.
    Hosts.png
  2. Добавьте новый домен в LDAP сервисы для аккаунта.
    1. Из навигационного меню нажмите Доступ > Службы каталогов и выберите вкладку или раздел LDAP.

    2. Нажмите Новый и настройте параметры для домена AD.

      New_DirectorySevice.png

      • Имя входа DN и Базовый DN - Уникальная строка для AD (аутентификация для извлеченных пользователей)
      • Пароль - Пароль для доступа к DN Active Directory
      • Шифрование - Выберите Использовать SSL для обеспечения безопасности соединения, поддерживается не всеми серверами
      • Настройки синхронизации пользователей SDP - Выберите ограничения для добавления в синхронизацию LDAP
    3. Нажмите Сохранить.
  3. Добавьте сервер AD (из шага 1) как контроллер домена (DC) к домену.
    1. В разделе навигации по панели нажмите Контроллеры домена.

    2. В верхнем раскрывающемся меню выберите Хост, а в следующем раскрывающемся меню выберите хост из шага 1.

      AD_host.png
    3. Нажмите Сохранить.

  4. Выберите группы AD для синхронизации с вашим аккаунтом Cato.

    Примечание

    Примечание:

    • Если группы не выбраны, все группы AD импортируются для осведомленности пользователя.
    • Вложенные группы синхронизируются, если вы выберете родительскую группу
    • Параметр User Principal Name (UPN) в AD должен быть настроен, чтобы пользователя можно было определить с помощью Осведомленность Пользователя
    1. В разделе навигации панели нажмите Группы пользователей.

    2. Выберите Группы AD, которые синхронизируются.

      Edit_User_Groups.png

      Примечание

      Примечание: Важен регистр при импорте организационных единиц из Active Directory. ExampleGroup будет рассматриваться иначе, чем EXAMPLEGROUP.

      Если вы изменили название OU в Active Directory, убедитесь, что также изменили выбранные OU в рамках CMA.

    3. Выберите Ежедневная синхронизация групп пользователей SDP, чтобы включить автоматическую синхронизацию групп и пользователей каждый день.
    4. Нажмите Сохранить и закрыть.
  5. На экране Службы каталогов нажмите Синхронизировать сейчас.

После синхронизации пользователей, им можно назначить лицензию SDP.

Для Осведомленности Пользователя пользователи могут быть определены с помощью запроса AD или агента идентификации.

Синхронизация внешнего сервера AD

Если вам нужно синхронизировать внешний AD сервер, вы можете выполнить ту же процедуру, что и выше.

  • Когда UPN и/или адрес электронной почты LDAP пользователя изменяются в AD, статус затронутого LDAP пользователя остается неизменным в CMA.
  • При синхронизации Azure AD синхронизированы оба типа пользователей: Получатель и Гость.
  • Убедитесь, что для пользователей AD настроены Имя и Фамилия. В противном случае, пользователи, у которых отсутствует Имя или Фамилия, НЕ синхронизируются с вашей учетной записью Cato.

Синхронизация локального сервера AD

Если ваш Контроллер домена находится за IPsec соединением или если вы маршрутизируете только некоторые подсети к Сокету, убедитесь, что IP-адрес CMA включен в конфигурацию маршрутизации вашего VPN-туннеля. Трафик от и до этого IP-адреса должен маршрутизироваться через туннель Cato.

Для получения дополнительной информации об IP-адресе для CMA см. Решение проблем с LDAP-синхронизацией (для просмотра этой статьи вы должны войти в свою учетную запись База Знаний Cato).

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев