Verwalten von Authentifizierungen

Das Extra "Benutzerverwaltung" verwenden Sie zur Definition der Anmeldeinformationen für Active Directory-Gruppen, die Zugriff auf die Konsole haben werden. Diese Anmeldeinformation müssen lediglich dafür sorgen, dass Endpoint Manager das Verzeichnis auflistet. Sie müssen Anmeldeinformationen für jedes Active Directory bereitstellen, das Benutzer enthält, die Konsolenzugriff haben sollen. Die von Ihnen bereitgestellten Authentifizierungen bestimmen, welche Benutzergruppen Sie bei der Zuweisung von Konsolengruppenberechtigungen auswählen können.

Die Konsolenauthentifizierung basiert auf der Mitgliedschaft in einer lokalen Windows-Gruppe oder einer Active Directory-Gruppe. Wenn ein Ivanti Administrator einer lokalen oder Active Directory-Gruppe Gruppenberechtigungen zuweist, können sich Benutzer, die Mitglieder der betreffenden Gruppe sind, bei der Windows- oder Webkonsole anmelden und die dieser Gruppe zugewiesen Berechtigungen mit nutzen.

Bei der Verwaltung von Aktive Directories zwecks Verwendung mit Endpoint Manager müssen Sie Folgendes beachten:

  • Active Directory ist vollständig in DNS integriert und TCP/IP (DNS) ist erforderlich. Der DNS-Server muss Ressourceneinträge für Dienste (SRV-Einträge) bzw. Dienstaufzeichnungen unterstützen.

  • Wenn ein Benutzer mithilfe von Active Directory zu einer in der Konsole verwendeten Gruppe hinzugefügt wird, dann kann sich dieser Benutzer nicht bei der Konsole anmelden, obwohl ihm Endpoint Manager Berechtigungen zugewiesen wurden. Ein Benutzer muss den lokalen LANDESK Gruppen des Coreservers angehören, damit er sich bei der Konsole anmelden kann. Weitere Informationen finden Sie unter Hinzufügen von Endpoint Manager-Konsolenbenutzern.

  • Damit Aktive Directories ordnungsgemäß mit der rollenbasierten Administration zusammenarbeiten, müssen Sie die COM+-Server-Anmeldeinformationen auf dem Coreserver konfigurieren. Dies ermöglicht es dem Coreserver, ein Konto in einer der lokalen LANDESK Gruppen des Coreservers zu verwenden, das über die erforderlichen Berechtigungen zum Auflisten von Windows-Domänenmitgliedern verfügt, wie beispielsweise das Administratorkonto. Anweisungen zum Durchführen der Konfiguration finden Sie unter Konfigurieren von COM+-Serveranmeldeinformationen.

Wenn sich das Kennwort des Kontos für eine Authentifizierung ändert, müssen Sie sich bei der Konsole anmelden und das Kennwort im Authentifizierungsdialogfeld in das neue Kennwort ändern. Sie tun dies, indem Sie sich als lokale Gruppe anmelden. Benutzer werden bei der Anmeldung authentifiziert, d. h. jede bestehende Sitzung bleibt funktionstüchtig. Benutzer in der Domäne, deren Kennwort geändert wurde, dürfen sich erst anmelden, wenn die Kennwortänderung im Extra "Benutzer" korrigiert wurde.

Beim Einsatz von Active Directory mit RBA (Run Book Automation) gelten die folgenden Regeln:

  • Wenn ein Benutzer Mitglied einer Active Directory-Gruppe ist, "erbt" der Benutzer die RBA-Rechte für diese Gruppe.
  • Wenn ein Benutzer Mitglied einer Active Directory-Gruppe ist, die Mitglied einer übergeordneten Gruppe ist, "erbt" der Benutzer die RBA-Rechte der Gruppe auf der übergeordneten Ebene.
  • Gruppen können geschachtelt werden und erben die entsprechenden Rechte in Übereinstimmung mit den Active Directory-Regeln.
So fügen Sie eine Authentifizierung hinzu:
  1. Klicken Sie im Extra "Benutzerverwaltung" (Extras > Administration > Benutzerverwaltung) mit der rechten Maustaste auf Benutzer und Gruppen und klicken Sie dann auf Neue Active Directory-Quelle.
  2. Geben Sie im Dialogfeld Active Directory-Quelle die Anmeldeinformationen für den Zugriff auf Active Directory ein.
  3. Klicken Sie auf OK.

Anpassen der Frequenz von Verzeichnisabfragen

Das Dienstprogramm "Resolveusergroups.exe" wird in regelmäßigen Abständen (alle 20 Minuten) ausgeführt, um die Liste der Ivanti® Endpoint Manager Konsolenbenutzer zu aktualisieren.

Sobald die Benutzerliste aufgelöst ist, wird sie in den Cache gestellt und verwendet, bis Resolveusergroups.exe erneut ausgeführt wird. In manchen Active Directory-Umgebungen kann es bei zu kleinen TTL-Werten vorkommen, dass der TTL-Schwellenwert bei manchen der aufgelösten Benutzerkonten unter Umständen bereits überschritten ist, bevor alle anderen Konten aufgelöst sind. Dies führt dazu, dass der Cache wieder und wieder aktualisiert wird und die Konsole sehr langsam lädt.

Falls dieser Fall in Ihrer Umgebung eintreten sollte, ändern Sie die TTL-Standardeinstellungen für Resolveusergroups.exe. Wenn Sie wissen wollen, wie dieses Programm verwendet wird, führen Sie Resolveusergroups.exe /? aus. Die TTL-Werte sind in Sekunden ausgewiesen. Hier ist ein spezifisches Beispiel, bei dem die TTL-Werte auf die Höchstwerte gesetzt werden:

Resolveusergroups.exe /verbose /TTL 600 /LDTTL 60

Alle für die TTL-Werte vorgenommenen Änderungen werden in die KeyValue-Tabelle in der Datenbank geschrieben (GroupResolutionTTL und LocalLDGroupResolutionTTL), damit sie Bestand haben.