将用户与LDAP同步

在本文中,我们将解释并演示如何配置您的Cato 账户以支持 Active Directory(LDAP 集成)。 该功能将允许您获取用户并自动将其添加到 Cato 管理应用程序(CMA)。 这不会认证到AD服务器。

在Cato管理应用程序中,用户组的名称使用sAMAaccountName属性。

同步有两个主要选项:

1. 与本地AD服务器同步

2. 与外部AD服务器同步

理解用户同步设置

在域控制器上的LDAP用户更改可能会触发Cato管理应用程序中大量用户修改。 为了降低错误风险,您可以选择以下方式限制每次同步中所做更改的数量:

  • 防止删除或禁用用户:您可以限制被删除或禁用的用户数量。

  • 防止更新组成员资格: 如果 LDAP 同步更改了 1500 或更多用户的用户组成员资格,Microsoft 本地 Active Directory 可能会从组中删除用户。 为了防止这种情况,您可以自定义在单次同步中可以更改用户组成员资格的最大用户数。 有关更多信息,请参阅目录服务和用户意识错误故障排除

  • 更新用户电子邮件:您可以限制更新用户电子邮件地址的数量。

如果超出限制,则下次LDAP同步将失败,并创建一种目录服务子事件类型。

同步本地AD服务器

如果 LDAP 同步出现问题,请参阅LDAP 同步和配置故障排除

如何同步本地 AD 服务器(Cato 站点的服务器):

  1. 将AD服务器添加到站点的 主机页面。

    1. 从导航菜单中选择网络 > 站点,然后选择站点。

    2. 从导航菜单中选择站点配置 > 主机

    3. 点击新建并输入AD服务器的设置。

    4. 点击应用然后点击保存

    Hosts.png

  2. 为账户在LDAP服务中添加一个新的域名。

    1. 从导航菜单中点击访问 > 目录服务,然后选择LDAP标签页或部分。

    2. 点击新建,并配置AD域名的设置。

      New_DirectoryService.png

      • 登录 DN 和 基础 DN - AD 的唯一字符串(用于获取用户的认证)

      • 密码 - 访问Active Directory DN的密码

      • 加密 - 选择使用 SSL来保证连接的安全性,但不是所有服务器都支持。

      • SDP用户同步设置 - 选择要添加到LDAP同步的限制

    3. 点击保存

  3. 将 AD 服务器(来自步骤 1)作为域控制器(DC)添加到域。

    1. 在面板导航部分中,点击域控制器

    2. 在顶部的下拉菜单中,选择主机,然后在下一个下拉菜单中选择步骤1中的主机。

      AD_host.png

    3. 点击保存

  4. 选择要同步到Cato账户的AD群组。

    注意

    注意:

    • 如果未选择任何群组,则导入所有AD群组以进行用户意识。

    • 如果选择了父群组,则嵌套群组会同步。

    • 必须为用户配置用户主体名称(UPN)AD 参数,才能通过用户意识识别用户

    1. 在面板导航部分中,点击用户组

    2. 选择您正在同步的AD群组。

      Edit_User_Groups.png

      注意

      注意:从Active Directory导入组织单元时,大小写很重要。 ExampleGroup会与EXAMPLEGROUP被视为不同。

      如果您更改了Active Directory中OU的名称,请确保也更改CMA中选定的OU。

    3. 选择每日同步用户组以启用每天自动同步这些群组和用户。

    4. 点击保存并关闭

  5. 目录服务屏幕中,点击立即同步

用户同步后,可以为他们分配SDP许可证

对于用户意识,用户可以通过AD查询身份代理识别。

同步外部AD服务器

如果您需要同步外部AD服务器,那么您可以执行与上述相同的程序。

  • 当LDAP用户的UPN和/或电子邮件地址在AD中更改时,受影响的LDAP用户的状态在CMA中保持不变。

  • 在同步Azure AD时,成员访客用户类型都被同步。

  • 确保为AD用户配置了姓名和姓氏。 否则,缺失姓名或姓氏的用户将不会同步到您的Cato账户。

同步本地AD服务器

如果您的域控制器在IPsec连接之后或仅将某些子网路由到Socket,请确保在VPN隧道路由配置中包括CMA的IP地址。 从和到此IP的流量应通过Cato隧道路由。

有关IP地址的更多信息,请参见解决LDAP同步问题(您必须登录到您的Cato知识库账户才能查看此文章)。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论