在本文中,我们将解释并演示如何配置您的Cato 账户以支持 Active Directory(LDAP 集成)。 该功能将允许您获取用户并自动将其添加到 Cato 管理应用程序(CMA)。 这不会认证到AD服务器。
在 Cato 管理应用程序中使用 sAMAccountName 属性作为用户组的名称。
同步有两个主要选项:
1. 与本地AD服务器同步
2. 与外部AD服务器同步
在域控制器上的LDAP用户更改可能会触发Cato管理应用程序中大量用户修改。 为了降低错误风险,您可以选择以下方式限制每次同步中所做更改的数量:
- 防止移除或禁用用户: 您可以限制被移除或禁用的用户数量。
- 防止更新组成员资格: 如果 LDAP 同步更改了 1500 个或更多用户的组成员资格,则 Microsoft 本地活动目录可能会将用户移除出该组。 为防止这种情况,您可以自定义在单次同步中可以更改用户组成员资格的最大用户数量。 有关更多信息,请参阅目录服务和用户意识错误故障排除。
- 更新用户电子邮件: 您可以限制被更新的用户电子邮件地址的数量。
如果超出限制,则下次LDAP同步将失败,并创建一种目录服务子事件类型。
注意
注意:包含超过 10,000 名成员的单个组无法同步。
如果 LDAP 同步出现问题,请参阅LDAP 同步和配置故障排除。
如何同步本地 AD 服务器(Cato 站点的服务器):
-
将AD服务器添加到站点的 主机页面。
- 从导航菜单中选择网络 > 站点,然后选择站点。
- 从导航菜单中选择站点配置 > 主机。
- 点击新建并输入AD服务器的设置。
- 点击应用然后点击保存。
- 为账户在LDAP服务中添加一个新的域名。
- 从导航菜单中点击访问 > 目录服务,然后选择LDAP标签页或部分。
-
点击新建,并配置AD域名的设置。
- 点击保存。
- 将 AD 服务器(来自步骤 1)作为域控制器(DC)添加到域。
- 在面板导航部分中,点击域控制器。
-
在顶部的下拉菜单中,选择主机,然后在下一个下拉菜单中选择步骤1中的主机。
- 点击保存。
-
选择要同步到Cato账户的AD群组。
注意
注意:
- 如果未选择任何群组,则导入所有AD群组以进行用户意识。
- 如果选择了父群组,则嵌套群组会同步。
- 必须为用户配置用户主体名称(UPN)AD 参数,才能通过用户意识识别用户
- 在面板导航部分中,点击用户组。
-
选择您正在同步的AD群组。
注意
注意:从Active Directory导入组织单元时,大小写很重要。 ExampleGroup会与EXAMPLEGROUP被视为不同。
如果您更改了Active Directory中OU的名称,请确保也更改CMA中选定的OU。
- 选择每日同步用户组以启用每天自动同步这些群组和用户。
- 点击保存并关闭。
- 在目录服务屏幕中,点击立即同步。
用户同步后,可以为他们分配SDP 许可证。
如果您需要同步外部AD服务器,那么您可以执行与上述相同的程序。
如果您的域控制器在IPsec连接之后或仅将某些子网路由到Socket,请确保在VPN隧道路由配置中包括CMA的IP地址。 从和到此IP的流量应通过Cato隧道路由。
有关 IP 地址的更多信息,请参见 解决 LDAP 同步问题(您必须登录到您的 Cato 知识库账户才能查看此文章)。
0 条评论
文章评论已关闭。