Эта статья объясняет, как настроить Осведомленность Пользователя для обеспечения лучшей Видимости для пользователей Active Directory на внутренних сетях.
Приложение Управления Cato позволяет легко идентифицировать удаленных пользователей, которые подключены к вашей корпоративной сети, так как пользователь проходил Аутентификация через Клиент Cato. Однако для пользователей, которые находятся за сайтом, они не подключаются с помощью Клиента, и вы можете видеть только IP-адрес или имя компьютера. Для этих внутренних пользователей трудно использовать Аналитика без личной информации, такой как имя и фамилия. Функция Осведомленности Пользователя интегрируется с Active Directory (AD) для корреляции IP-адреса и имени пользователя. Точки присутствия могут запрашивать логи входа контроллера домена и сопоставлять пользователей с IP-адресами их компьютеров. Данные пользователя поступают почти в реальном времени с задержкой всего 30 секунд. Осведомленность Пользователя позволяет окну Топологии и Аналитике показывать имена внутренних пользователей, а не только IP-адрес.
Вы должны настроить Службы каталогов для домена, прежде чем сможете включить Осведомленность Пользователя. Чтобы узнать больше о настройке сервисов каталогов, см. Обеспечение пользователей через LDAP.
Убедитесь, что политика аудита настроена с идентификаторами событий, которые использует Осведомленность Пользователя в журнале безопасности Windows, чтобы сопоставлять пользователей с IP-адресами. Для получения дополнительной информации смотрите Устранение Проблем в Работе Служб Каталогов и Ошибок Осведомленности Пользователя.
Следующие разделы объясняют, как настроить Осведомленность Пользователя для IPsec сайтов, которые находятся за третьим файерволом. Если у вас нет сайта IPsec, продолжайте ниже с помощью Определение контроллеров домена в реальном времени.
Синхронизация Осведомленности Пользователя использует фиксированный IP-адрес для Системного Диапазона. Клиенты, использующие третий файервол для контроля доступа к своим контроллерам домена, должны обновить настройки файервола, чтобы разрешить этот IP-адрес для всех портов и сервисов. IP-адрес, который используется для синхронизации Осведомленности Пользователя, отличается для учетные записи, которые используют системный диапазон по умолчанию или пользовательский системный диапазон.
Для получения дополнительной информации о системных диапазонах по умолчанию и пользовательских диапазонах для серверов DNS в Cato Cloud, см. Обработка Потоков DNS в Cato Cloud.
Системный диапазон по умолчанию, зарезервированный для Cato Networks, составляет 10.254.254.0/24. Для учетных записей, использующих этот диапазон по умолчанию, фиксированный IP-адрес для синхронизации Осведомленности Пользователя: 10.254.254.12.
Для учетных записей, использующих пользовательский системный диапазон, а не диапазон по умолчанию, используйте пользовательский диапазон для расчета фиксированного IP-адреса для синхронизации Осведомленности Пользователя. Фиксированный IP-адрес — это девятый в пользовательском диапазоне. Например, если пользовательский зарезервированный диапазон — 10.10.10.0/16, то фиксированный IP-адрес — 10.10.10.9.
Для учетных записей, которые используют меньший диапазон IP-адресов, они все равно используют девятый из пользовательского диапазона. Например, если пользовательский зарезервированный диапазон — 10.200.200.64/28, то фиксированный IP-адрес — 10.200.200.73 (10.200.200.64 + x.x.x.9).
Осведомленность Пользователя обнаруживает по крайней мере 4 различных пользователи, входящих на одно и то же устройство в течение временного интервала 2 часа, устройство считается общим хостом. Правила Сети и файервола для группы пользователей Все общие хосты или IP-адреса хоста применяются к Пользователям SDP, зарегистрированным на общем хосте, а не к правилу для Пользователя SDP.
Определите WMI-контроллеры на Контроллер домена (DC), которые мониторят WMI-запросы в реальном времени.
Для AD, которые находятся за сайтом, убедитесь, что вы определили Контроллер домена (DC) как хост для этого сайта (Сети > Настройки сайта > Хост).
Заметка
Примечание: Для учетных записей с несколькими DC, необходимо добавить все DC с событиями входа в Контроллеры домена в реальном времени.
Чтобы определить Контроллеры домена в реальном времени:
-
В меню навигации нажмите Доступ > Осведомленность Пользователя.
-
В разделе или вкладке Контроллеры домена в реальном времени нажмите Новый.
Откроется панель Добавить контроллер домена в реальном времени.
-
Из выпадающего меню Контроллер домена выберите домен AD.
-
Определите настройки подключения к DC в зависимости от его местоположения:
-
Для DC на хосте, определенном за сайтом, выберите Внутренний хост и затем выберите статический хост для сервера LDAP
-
Для DC, которые не находятся за сайтом, выберите Внешний IP или домен и введите IP-адрес или домен DC
Заметка
Примечание: Необходимо использовать публичные IP-адреса для DC.
-
-
Введите Имя пользователя и Пароль для пользователя AD.
-
Нажмите ОК. Контроллер домена в реальном времени добавлен в настройки осведомленности пользователя и загружен в Cato Cloud.
-
Повторите предыдущие шаги для каждого Контроллера домена.
После определения Контроллера домена в реальном времени, протестируйте состояние соединения, чтобы убедиться, что Приложение Управления Cato и Cato Cloud могут подключиться к DC.
Всплывающее окно покажет, было ли соединение успешным или не удалось подключиться к DC.
Заметка
Примечание: Вы можете проверить статус соединения DC только для предопределенного хоста за площадкой.
Чтобы проверить статус соединения Контроллера домена в реальном времени:
-
В навигации меню, нажмите Доступ > Осведомленность Пользователя.
-
На вкладке Контроллеры домена в реальном времени в столбце Соединение для домена нажмите Проверить соединение.
Всплывающее окно показывает результаты теста соединения.
Определите, какие группы AD для домена синхронизируются с вашей учетной записью Cato для осведомленности пользователя. Вы также можете выбрать, синхронизировать ли AD автоматически каждый день или выполнять синхронизацию вручную. Настройки синхронизации для осведомленности пользователя должны быть одинаковыми для всех доменов в вашей учетной записи.
Когда группы или пользователи AD удаляются из домена, они отключаются в вашей учетной записи, если они не используются в правилах или группах. For more about synchronization setting for Directory Services see Provisioning Users with SCIM and LDAP.
Выберите группы AD в домене, содержащие пользователей, которые синхронизированы для осведомленности пользователя, и определите настройки ежедневной синхронизации для них.
Пользователи синхронизируются с вашей учетной записью Cato, только если настроен контроллер домена в реальном времени или включен Агент идентификации (Доступ > Осведомленность Пользователя > Агент идентификации).
Атрибут sAMAaccountName используется для имени группы пользователей в Приложении Управления Cato.
Чтобы определить группы AD, которые синхронизируются с осведомленностью пользователя:
-
В меню навигации нажмите Доступ > Службы каталогов.
-
Выберите вкладку или раздел LDAP и нажмите на домен.
Откроется панель.
-
В меню навигации панели выберите Группы пользователей.
Вложенные группы синхронизируются, если вы выберете родительскую группу
-
Выберите AD группы для осведомленности пользователей.
Примечание: Если группы не выбраны, то все AD группы импортируются для осведомленности пользователей.
-
Чтобы автоматически синхронизировать группы пользовательской осведомленности, включите
Ежедневная синхронизация групп пользовательской осведомленности.
-
Нажмите Применить.
0 комментариев
Статья закрыта для комментариев.