Gestion des authentifications

Utilisez l'arborescence Gestion des utilisateurs pour définir des références d'authentification pour les groupes Active Directory qui auront accès à la console. Ces références d'authentification ont seulement besoin de laisser Endpoint Manager énumérer l'annuaire. Vous devez fournir des références d'authentification pour chaque annuaire Active Directory contenant des utilisateurs qui doivent pouvoir accéder à la console. Les authentifications que vous définissez déterminent les groupes d'utilisateurs parmi lesquels vous pouvez faire votre choix pour affecter des permissions de groupe sur la console.

L'authentification auprès de la console est basée sur l'appartenance à un groupe Windows local ou Active Directory. Lorsque l'administrateur Ivanti affecte des permissions de groupe à un groupe local ou Active Directory, les utilisateurs membres de ce groupe peuvent se connecter aux consoles Windows ou Web, et partager les permissions affectées à ce groupe.

Lorsque vous gérez des annuaires Active Directory pour utilisation avec Endpoint Manager, soyez conscient des problèmes suivants :

  • Active Directory est entièrement intégré avec les fonctions DNS et vous devez disposer de TCP/IP (DNS). Pour fonctionner correctement, le serveur DNS doit prendre en charge les enregistrements de ressource ou de service SRV.

  • L'utilisation d'Active Directory pour ajouter un utilisateur à un groupe employé dans la console ne permet pas à l'utilisateur concerné de se connecter à la console, même s'il dispose de permissions Endpoint Manager. Pour se connecter à la console, l'utilisateur doit appartenir aux groupes LANDESK locaux du serveur principal. Pour en savoir plus, reportez-vous à « Ajout d'utilisateurs de la console Endpoint Manager ».

  • Pour que les annuaires Active Directory fonctionnent correctement avec l'administration basée sur les rôles, vous devez configurer les références d'authentification du serveur COM+ sur le serveur principal. Cette opération permet au serveur principal d'utiliser un compte membre de l'un des groupes locaux LANDESK du serveur local, doté des permissions nécessaires pour énumérer les membres du domaine Windows (par exemple, le compte d'administrateur). Pour obtenir des instructions sur la configuration, reportez-vous à la section Configuration des références d'authentification du serveur COM+.

Si le mot de passe du compte utilisé pour l'authentification change, vous devez vous connecter à la console et changer le mot de passe figurant dans la boîte de dialogue d'authentification pour qu'il corresponde au nouveau mot de passe. Pour ce faire, vous devez vous connecter en tant que membre d'un groupe local. Les utilisateurs sont authentifiés lorsqu'ils se connectent, si bien que toutes les sessions existantes continuent de fonctionner. Les utilisateurs du domaine dont le mot de passe a changé ne sont autorisés à se connecter qu'après que le changement de mot de passe a été répercuté dans l'outil Utilisateurs.

Les règles suivantes s'appliquent lorsque vous utilisez Active Directory avec RBA :

  • Si l'utilisateur est membre d'un groupe Active Directory, il hérite des droits RBA de ce groupe.
  • Si l'utilisateur est membre d'un groupe Active Directory membre d'un groupe de niveau supérieur, il hérite des droits RBA du groupe de niveau supérieur.
  • Il est possible d'imbriquer des groupes, qui héritent alors des droits appropriés en fonction des règles Active Directory habituelles.
Pour ajouter une authentification
  1. Dans l'outil Gestion des utilisateurs (Outils > Administration > Gestion des utilisateurs), cliquez avec le bouton droit sur Utilisateurs et groupes, puis sélectionnez Nouvelle source Active Directory.
  2. Dans la boîte de dialogue Source Active Directory, entrez les références d'authentification nécessaires pour accéder à l'annuaire Active Directory.
  3. Cliquez sur OK.

Réglage de la fréquence d'interrogation de l'annuaire

L'utilitaire nommé Resolveusergroups.exe s'exécute périodiquement (toutes les 20 minutes) pour actualiser la liste des utilisateurs de la console Ivanti® Endpoint Manager.

Une fois la liste des utilisateurs résolue, elle est mise en cache et utilisée jusqu'à la prochaine exécution de Resolveusergroups.exe. Dans certains environnements Active Directory, si les valeurs TTL sont trop faibles, certains comptes d'utilisateur non résolus peuvent avoir franchi le seuil TTL avant la résolution de tous les comptes. Cela provoque une réactualisation à répétition du cache, ce qui ralentit le chargement de la console.

Si cela se produit dans votre environnement, changez les paramètres TTL par défaut pour Resolveusergroups.exe. Vous pouvez exécuter Resolveusergroups.exe /? pour connaître la syntaxe correcte. Les valeurs TTL sont exprimées en secondes. Voici un exemple spécifique où les valeurs TTL sont définies sur le maximum :

Resolveusergroups.exe /verbose /TTL 600 /LDTTL 60

Tous les changements apportés aux valeurs TTL sont écrits dans la table KeyValue de la base de données (GroupResolutionTTL et LocalLDGroupResolutionTTL), si bien qu'ils sont persistants.