Manejo de autenticaciones

Utilice la herramienta de Administración de usuarios para definir las credenciales de los grupos de Active directory que tendrán acceso a la consola. Estas credenciales sólo tienen que permitir que Endpoint Manager enumere el directorio. Tendrá que proporcionarle credenciales a cada Active directory que contenga usuarios que se desee que tengan acceso a la consola. Las autenticaciones que proporcione determinarán qué grupos de usuario se pueden seleccionar para asignarles permisos de grupo de consola.

La autenticación de consola está basada en la pertenencia al grupo local de Windows o al grupo de Active directory. Cuando un administrador de Ivanti asigna permisos de grupo a un grupo local o de Active directory, los usuarios que son miembros de ese grupo pueden iniciar sesión en Windows o la Consolas Web y compartir los permisos asignados a ese grupo.

Debe tener en cuenta los aspectos siguientes al administrar los Directorios activos que se utilizan con Endpoint Manager:

  • Active Directory está totalmente integrado con DNS y se requiere TCP / IP (DNS). Para que sea completamente funcional, el servidor DNS debe ser compatible con los registros de recursos SRV o registros de servicios.

  • El uso de Active Directory para agregarle algún usuario a un grupo que se está utilizando en la consola no habilitará al usuario para que inicie sesión en la consola aunque Endpoint Manager le hayan asignado permiso al usuario. Para iniciar sesión en la consola, el usuario debe pertenecer a los grupos locales de LANDESK del servidor central. Para obtener más información, consulte Adición de usuarios de la consola de Endpoint Manager

  • Para que los Directorios activos funcionen debidamente con la administración basada en roles, debe configurar las credenciales del servidor COM+ en el servidor central. Esto permite que el servidor central utilice una cuenta en uno de los grupos locales de LANDESK del servidor central que tenga los permisos necesarios para enumerar los miembros del dominio Windows, tal como la cuenta de administrador. Para obtener instrucciones sobre cómo realizar la configuración, consulte Configuración de credenciales de servidor COM+.

Si la contraseña de cuenta de una autenticación cambia, tendrá que iniciar sesión en la consola y cambiar la contraseña por la nueva contraseña en el cuadro de diálogo de autenticación. Se puede hacer lo anterior iniciando sesión en un grupo local. Los usuarios se autentican cuando inician sesión, por lo cual cualquier sesión existente seguirá funcionando. A los usuarios del dominio al cual se le cambió la contraseña no se les permitirá iniciar sesión hasta que el cambio de la contraseña haya sido corregido en la herramienta de Usuarios.

Las siguientes reglas aplican al utilizar Active Directory con RBA:

  • Si un usuario es miembro de un grupo de Active Directory, el usuario hereda los derechos de RBA de ese grupo.
  • Si un usuario es miembro de un grupo de Active Directory, el cual es un miembro de un grupo de nivel más alto, el usuario hereda los derechos RBA del grupo del nivel superior.
  • Los grupos se pueden anidar, y heredan los derechos correspondientes de acuerdo con las reglas de Active Directory habituales.
Para agregar una autenticación
  1. En la herramienta de Administración de usuarios (Herramientas > Administración > Administración de usuarios), haga clic con el botón derecho en Usuarios y grupos y haga clic en Nueva fuente de Active Directory.
  2. En el cuadro de diálogo Fuente de Active Directory, introduzca las credenciales que dan acceso a Active Directory.
  3. Haga clic en Aceptar.

Ajuste de la frecuencia de consulta del directorio

Una función llamada Resolveusergroups.exe se ejecuta periódicamente (cada 20 minutos) para actualizar la lista de usuarios de la consola de Ivanti® Endpoint Manager.

Una vez que se realiza la lista de usuarios, se coloca en la memoria caché y se utiliza hasta que se vuelva a ejecutar Resolveusergroups.exe. En algunos entornos de Active directory, si los valores de TTL son demasiado pequeños, puede que algunas de las cuentas de usuario que han sido determinadas crucen el umbral de TTL antes de que todas las cuentas hayan sido determinadas. Esto provoca que la memoria caché se actualice una y otra vez, y la consola carga muy lentamente.

Si esto sucede en su entorno, cambiar los valores de TTL de la configuración predeterminada de Resolveusergroups.exe. Puede ejecutar Resolveusergroups.exe /? Para ver cómo se utiliza. El los valores de TTL son en segundos. Este es un ejemplo concreto que establece los valores de TTL en el máximo:

Resolveusergroups.exe /verbose /TTL 600 /LDTTL 60

Cualquier cambio en los valores de TTL se escriben en la tabla KeyValue de la base de datos (GroupResolutionTTL y LocalLDGroupResolutionTTL), de modo que sean persistentes.