[KB7766] Synchronizácia ESET PROTECT On-Prem so službou Active Directory

Problém

  • Na synchronizáciu virtuálneho zariadenia ESET PROTECT alebo ESET PROTECT On-Prem pre systém Linux so službou Active Directory je potrebná synchronizačná úloha
  • Ak automatická synchronizácia v ESET PROTECT On-Prem zlyhá, na synchronizáciu ESET PROTECT s Active Directory možno použiť úlohu
  • Konfigurácia komunikácie medzi virtuálnym zariadením ESET PROTECT a existujúcim Active Directory
  • Vedľa názvu počítača sa nachádza ikona Žiadny agent a nie je možné vykonať push inštaláciu
  • Požiadavky
  • Synchronizácia ESET PROTECT On-Prem so službou Active Directory

Riešenie

Požiadavky

Aby úloha súvisiaca so synchronizáciou s Active Directory (AD) prebehla správne, je dôležité, aby všetky objekty AD, ktoré sa budú synchronizovať, a ich príslušné DNS záznamy a reverzné DNS záznamy boli na všetkých serveroch správne. Akýkoľvek nesúlad v týchto položkách môže mať za následok nesprávne triedenie objektov AD alebo umiestnenie nadbytočných objektov AD do skupiny Stratené a nájdené.


Synchronizácia ESET PROTECT On-Prem so službou Active Directory

  1. Otvorte ESET PROTECT On-Prem vo webovom prehliadači a prihláste sa.

  2. Kliknite na Úlohy Serverové úlohy Synchronizácia statickej skupiny a potom kliknite na položku NováServerová úloha.

    Obrázok 1-1
  3. Do príslušného poľa zadajte Názov novej úlohy a z roletového menu Úloha vyberte možnosť Synchronizácia statickej skupiny (predvolene vybraná). Odporúčame označiť možnosť Spustiť úlohu okamžite po dokončení pre najrýchlejšie spustenie.

    Obrázok 1-2
  4. V časti Nastavenia kliknite na možnosť Vybrať v rámci sekcie Názov statickej skupiny.

    Obrázok 1-3
  5. Vyberte statickú skupinu, ktorá bude prijímať nové počítače a používateľov zo služby AD, a potom kliknite na tlačidlo OK.

    Obrázok 1-4
  6. Definujte synchronizáciu s objektmi AD:

  • Objekty k synchronizácii – vyberte buď Počítače a skupiny, alebo Iba počítače.

  • Akcia pri výskyte kolízie pri vytváraní počítačov – ak sa pri synchronizácii pridajú počítače, ktoré sú už členmi danej statickej skupiny, môžete vybrať metódu riešenia konfliktu:

    • Vynechať – nové počítače nebudú pridané.

    • Presunúť – nové počítače budú presunuté do podskupiny.

    • Duplikovať – nové počítače budú pridané so zmeneným názvom.

  • Akcia pri odstránení počítača – ak počítač v AD už neexistuje, môžete ho buď Zmazať, alebo Vynechať.

  • Akcia pri odstránení skupiny – ak skupina v AD už neexistuje, môžete ju buď Zmazať, alebo Vynechať.

  • Režim synchronizácie – na synchronizáciu s AD vyberte možnosť Active Directory/Open Directory/LDAP.

    Obrázok 1-5
  1. V sekcii Nastavenia pripojenia servera uveďte v príslušných poliach nasledujúce informácie:
    • Server – zadajte názov servera alebo IP adresu svojho doménového radiča.

    • Prihlásenie – zadajte prihlasovacie údaje pre svoj doménový radič vo formáte username@DOMAIN alebo username. Ak spúšťate ESET PROTECT Server na systéme Windows, použite formát DOMAIN\username.

      Doménu zadajte veľkými písmenami

      Doménu zadajte iba veľkými písmenami – toto formátovanie je potrebné na správne overovanie požiadaviek odosielaných na AD server.

    • Heslo – zadajte heslo, pomocou ktorého sa prihlasujete do svojho doménového radiča.

      Obrázok 1-6

Prednastavenie AD nastavení

Nastavenia AD môžete prednastaviť aj v sekcii Viac Nastavenia servera Pokročilé nastavenia Active Directory. ESET PROTECT predvolene používa vaše prihlasovacie údaje v rámci úloh súvisiacich so synchronizáciou s AD (synchronizácia používateľa, synchronizácia statickej skupiny, synchronizácia bezpečnostnej skupiny domény). Ak sú súvisiace polia v konfigurácii úlohy ponechané prázdne, ESET PROTECT použije prednastavené prihlasovacie údaje.

  • Hostiteľ – adresa vášho doménového radiča.

  • Prihlasovacie meno – zadajte prihlasovacie meno pre svoj doménový radič v nasledujúcom formáte:

    • DOMAIN\username (ESET PROTECT Server bežiaci na systéme Windows)

    • username@FULL.DOMAIN.NAME alebo username (ESET PROTECT Server bežiaci na systéme Linux).

  • Heslo – prístupová fráza pre vaše prihlasovacie meno.

  • Koreňový kontajner – zadajte úplný identifikátor AD kontajnera (napr.: CN=John,CN=Users,DC=Corp). Slúži ako predvolený Rozlišujúci názov. Aby ste sa uistili, že zadávate správnu hodnotu, odporúčame vám ju skopírovať zo serverovej úlohy (po označení poľa Rozlišujúci názov z neho skopírujte hodnotu).

  1. Označte políčko vedľa možnosti Použiť LDAP namiesto Active Directory.

    Obrázok 1-7
  2. Zobrazia sa nastavenia LDAP parametrov. V časti Predvoľby kliknite na možnosť Vybrať a potom vyberte Active Directory.

    Obrázok 1-8
  3. Označte políčko vedľa možnosti Použiť jednoduchú autentifikáciu.

    Obrázok 1-9
    Pole atribútu popisu počítača v ESET PROTECT

    Pole Atribút popisu počítača je dostupné pri konfigurácii LDAP. Môžu byť použité len atribúty typu Directory String.

    Atribút Príklad
    dNSHostName windows10.admin.mydomain
    cn WINDOWS10
    name WINDOWS10
    operatingSystem Windows 10 Enterprise N
    operatingSystemVersion 10.0
    sAMAccountName WINDOWS10$
    servicePrincipalName windows10.admin.mydomain
    description Predvolený kontajner pre aktualizované účty počítača
  1. Kliknite na možnosť Prehľadávať v sekcii Rozlišujúci názov. Zobrazí sa stromová štruktúra AD. Vyberte hornú položku pre synchronizáciu všetkých skupín s ESET PROTECT alebo vyberte len konkrétne skupiny, ktoré chcete pridať. Po dokončení úprav kliknite na OK.

    Stromová štruktúra AD sa nechce načítať

    Ak sa stromová štruktúra AD nenačíta, zrušte označenie políčka vedľa možnosti Použiť jednoduchú autentifikáciu a skúste to znova.

Obrázok 1-10
  1. Kliknite na Dokončiť. Vaša nová úloha sa zobrazí napravo v zozname úloh a spustí sa vo vami určenom čase.

  2. Po dokončení synchronizácie s AD vytvorte úlohu na vzdialenú inštaláciu alebo preinštalovanie Agenta.