实施LDAP用户设置

目录服务设置部分允许您配置与LDAP域之间的用户同步的设置,如Active Directory (AD)。

注意

注意: 您需要将Cato管理应用程序(CMA)的IP地址加入允许列表,该IP是Cato LDAP服务的源IP,请参见使用Cato IP 地址(您必须登录才能查看此文章)。

配置域名的高级工作流程

这是使用目录服务将LDAP域与Cato账户集成的工作流程:

  1. 将域添加到CMA

  2. 添加域控制器

  3. 将域与您的Cato账户同步

添加域名到CMA

当您将LDAP域添加到您的账户时,您需要向CMA添加目录服务连接。 在目录服务设置窗口中,您组织的每个域和子域都需要一个单独的连接。 例如,如果您的账户拥有sample.comalpha.sample.comexample.com域,则您需要在目录服务设置中创建三个连接。

对于域密码,密码的最大长度为48个字符。

当您输入域的专有名称(DN)时:

  • 登录DN指的是LDAP目录层次结构中的管理员对象

  • 基础DN是指LDAP目录层次结构中管理员与Cato同步的用户和群组的对象

了解用户同步设置

对域控制器上的LDAP用户的更改可能会在CMA中触发大量用户修改。 为了减少错误的风险,您可以选择限制每次同步中所做的更改数量,方式如下:

  • 防止删除或禁用用户:您可以限制被删除或禁用的用户数量。

  • 防止更新群组成员关系: 如果LDAP同步更改了1500或更多用户的群组成员关系,Microsoft 本地 Active Directory 可能会 从群组中删除这些用户。 为防止这种情况,您可以自定义单次同步中可以更改用户群组成员关系的最大用户数量。 如需更多信息,请参阅目录服务和用户意识错误故障排除

  • 更新用户电子邮件:您可以限制已更新的用户电子邮件地址数量。

如果超过限制,下次LDAP同步将失败,并创建一个目录服务子类型的事件。

注意

注意:如果用户在您的AD上被禁用然后重新启用,他们可能需要卸载并重新安装Cato客户端以连接到网络。

变更域控制器中组的路径

如果您更改了域控制器中组的路径,则还必须更新CMA中的基础DN

如果您不将CMA更新到新路径,已移动的用户群组将不再包含在同步中并被删除。 这些用户群组在 用户群组 页面上不再可见。 被删除的用户群组仍然可见于策略中,并标记为已删除且策略不适用于该用户群组。 SDP许可证从已删除的LDAP配置的用户群组中的用户中移除,并且这些用户不能再连接到网络。 如果用户需要连接到网络,则需要重新分配SDP许可证。

添加域名到CMA

New_DirectorySevice.png

要将域添加到CMA:

  1. 从导航菜单中,点击访问 > 目录服务

  2. LDAP部分或标签页中,点击新建

    新目录服务面板打开。

  3. 选择LDAP 提供者

    只能选择一个LDAP提供者。

  4. LDAP认证描述部分,配置登录DN

    • 对于本地 AD,使用 AD 账户的专有名称(DN)

    • 对于 Azure AD,使用 AD 账户的用户主体名称(UPN)

  5. 输入登录DN基础DN

  6. 输入您为目录服务连接创建的CN用户的密码

  7. 对于使用SSL连接的LDAP域,选择加密

    域已添加到CMA。 为域配置域控制器。

  8. 选择您的SDP用户同步设置

添加域控制器

将与 LDAP 服务器关联的域控制器(DC)添加到目录服务域。

对于在站点后面的LDAP服务器,可以使用IP地址或定义为站点的主机添加DC (网络 > 站点 > {site name} > 站点配置 > 主机)。

对于外部且使用公共IP地址的服务器,您可以使用IP地址或域定义DC。

允许Cato IPs

为了确保流量可以到达您的服务,请将使用Cato IP 地址中列出的IP地址加入允许列表(您必须登录才能查看此文章)。 与这些IP地址之间的流量在Cato隧道内路由。

确保防火墙或路由设备针对以下部署正确配置:

  • DC位于IPsec站点后(而不是Socket)

  • 所有流量未路由到Socket

Edit_DC.png

添加域控制器:

  1. 新目录服务面板的导航菜单中,点击域控制器

  2. 根据DC的位置定义连接设置:

    • 对于定义在站点后的主机上的DC,选择内部主机,然后选择LDAP服务器的静态主机

    • 对于使用内部IP地址的DC,选择内部IP并输入DC的IP地址

    • 对于不在站点后的DC,选择外部IP或域名,并输入DC的IP地址或域名

  3. 点击添加

  4. 对于多个DC的部署,重复前面的步骤来添加每个DC。

  5. 点击保存并关闭

测试域名连接性

在您定义域并添加DC之后,我们建议您测试域与CMA之间的连接性。

CMA会自动测试域中所有DC的连接性,并显示每个DC的结果。

如果连接性测试不成功,请参阅目录服务和用户意识错误和问题故障排除以获取故障排除建议。

测试连接到域:

  • 从域的连接列中,点击测试连接。 CMA显示连接性测试的结果。

将域名与您的Cato账户同步

在添加DC之后,配置设置以定义如何同步LDAP组中的用户。

  • 如果您正在使用目录服务并需要修改用户的MFA手机号码,只需在LDAP目录中修改电话号码

配置域名目录服务设置的高级概览

  1. 选择与您的账户同步的LDAP群组。

  2. 启用或禁用每天自动同步用户。

  3. 定义从LDAP群组中移除的用户行为——是禁用还是将其从CMA中删除。

导入活跃目录群组

选择要同步到您账户的LDAP群组。

选择要导入到您的账户的AD组:

  1. 新目录服务面板中,点击用户群组

  2. 选择用户群组下拉菜单中,选择与您的账户同步的群组。

    注意:如果没有选择群组,则整个Active Directory都会被导入。

    配置此域的同步设置(见下文)。

分配许可证和应用访问权限策略

当用户同步到您的账户后,您可以分配SDP许可证,并应用用户在哪连接时生效的策略。 有关分配SDP许可证的更多信息,请参阅分配SDP许可证给用户

同步设置概览

您可以启用账户每天自动与LDAP目录同步,并更新CMA中的群组和用户以匹配域中的信息。

您可以在目录名称列中查看哪些用户是被导入的,哪些是手动创建的——导入的用户会显示LDAP目录的名称,手动创建的会显示为手动。 您也可以通过目录名称进行过滤,或查看系统中所有手动添加的用户。

Cato于每天的世界协调时间12:00启动所有账户的自动LDAP同步。 Cato会逐个账户执行同步,完成所有账户的每日同步可能需要几个小时。 如果每日同步用户组选项在12:00后但在Cato开始LDAP同步之前被禁用,则自动同步将被跳过,直到选项在下一个时段开启。

注意

注意:对于有多个域的账号,所有域的同步设置必须相同。 否则可能出现与不同域之间可能的信任依赖相关的问题。

不再存在于目录服务组中的用户

如果用户不再存在于导入的目录服务组中设置允许您定义当用户或组从LDAP服务器中删除、过期或被禁用时的同步行为。 您可以从以下选项中进行选择:

  • 禁用 - 用户被禁用,无法连接到Cato云。 用户保留在他们是成员的用户群组中

  • 删除 - 将用户帐户从CMA中删除,包括其所在的用户群组

    当群组或用户从LDAP服务器中移除,但它们被CMA中的对象或规则使用时,这是同步行为:

    • 用户会被禁用而不是删除

    • 群组被标记为不再同步

    • 这些群组或用户被标记为 手动 而不是 LDAP

默认情况下,CMA防止账户在LDAP同步中删除或禁用超过100个用户。 在LDAP同步开始时,如果同步将删除或禁用超过100个用户(针对默认设置),则同步将被取消,并发送电子邮件通知。 您可以禁用防止删除或禁用用户,也可以更改每次LDAP同步的最大删除用户数。

配置目录服务同步设置

配置域名和您的Cato账户之间的同步设置。 您选择启用每日自动同步,并设置当用户从目录服务组中移除时的行为。

要配置域的同步设置:

  1. 管理自动同步设置:

    1. 新目录服务 面板中,选择 用户群组

    2. 用户群组 部分,选择启用或禁用 每日同步用户群组

      启用时,开关为绿色。

  2. 在AD域中定义 如果用户在导入的目录服务组中不再存在 的行为:

    • 禁用 在CMA中禁用用户

    • 移除 从CMA中移除用户

  3. (可选) 自定义 防止删除超过 用户数量的设置在LDAP同步期间:

    • 若要更改在LDAP同步期间可删除的用户数量,在 用户 中,输入最大删除用户数量。

    • 要移除在LDAP同步过程中可以删除用户的数量限制,请禁用slider_disable.png这个设置。

  4. 点击 应用 然后点击 保存

    该域已配置为与您的账户同步用户和群组。

手动同步目录服务

使用立即同步功能在AD服务器和CMA之间手动同步用户和群组。 对于多个域的账户,CMA会同时同步所有域,因为域之间可能存在信任依赖关系。

即使您审阅了候选变更并点击提交,不是所有已提交的变更都必然会被应用。 在创建或更新用户和群组之前,CMA会验证每个变更。 例如,如果已有相同名称的手动群组存在,变更可能会失败。 您可以在事件页面查看每个已处理变更的结果。

注意

注意:事件页面可能需要几分钟来更新变更。

若要手动同步所有域的目录服务:

  1. 从导航菜单中,点击 访问 > 目录服务

  2. LDAP 部分或标签中,点击 立即同步

  3. 手动LDAP同步窗口打开并显示用户和群组的潜在变更。 审阅变更并点击提交

  4. 确认页面表示请求已提交,并包含一个链接到事件页面,已经过滤了相关的系统事件和子类型。

    • 如果同步成功,则生成一个系统事件,子类型为LDAP配置中,其信息类似于:

      用户 'x' 已创建

    • 如果同步失败,则以相同的子类型生成一个系统事件,信息类似于:

      未能保存用户

    • 如果您想再次搜索已提交的潜在变更,请寻找具有类似信息的目录服务子类型的系统事件:

      'x' 潜在变更已提交

示例

在以下示例中,您可以看到3个潜在变更是手动提交的。

submit-ldap-sync.png

变更已成功提交,仔细查看事件页面,您可以看到Jane Phillips已成功创建:

ldap-sync-success.png

然而,John Doe未能创建,因为具有该电子邮件的手动创建用户已存在于账户中。

ldap-sync-failed.png

删除域和域控制器

当域和DC不再需要时,您可以删除它们。

注意

注意: 删除域或 DC 后,其用户不再与该域关联,并被标记为 Cato 用户。 如果您从相同或不同域添加相同用户,则它们在系统中会被复制。 一个标记为 Cato 用户,一个仍在域下。

要删除域:

  1. 从导航菜单中,点击 访问 > 目录服务

  2. LDAP部分或标签页中,在域名的行里点击Delete.png

  3. 点击 保存。 该域从您的账户中删除。

要删除域控制器:

  1. 从导航菜单中,点击 访问 > 目录服务

  2. LDAP 部分或标签页中,编辑该域。

    编辑目录服务 面板打开。

  3. 新目录服务 面板的导航菜单中,点击 域控制器

  4. 在DC的行里点击Delete.png

  5. 点击 应用 然后点击 保存。 此域控制器已从域中删除。

管理多个域

如果您的组织有多个域,您可以为每个域定义目录服务连接。 将新的域添加并配置到账户。

您必须为添加到账户的每个新域输入密码。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论