Gerenciar autenticações

Use a ferramenta Gerenciamento de usuários para definir credenciais para os grupos Active Directory que terão acesso ao console. Essas credenciais só precisam deixar o Endpoint Manager enumerar o diretório. Você precisará fornecer credenciais para cada Active Directory que contém usuários aos quais deseja dar acesso ao console. As autenticações que fornecer determinarão de que grupos de usuários você pode selecionar usuários para atribuir permissões de grupo a console.

A autenticação de console é baseada no grupo local Windows ou Active Directory. Quando um administrador Ivanti atribuir permissões de grupo a um grupo local ou Active Directory, os usuários membros desse grupo podem acessar os consoles Windows ou da Web e compartilhar as permissões atribuídas àquele grupo.

É necessário estar ciente dos seguintes problemas ao gerenciar Active Directories para uso com o Endpoint Manager:

  • O Active Directory é totalmente integrado com o DNS e o TCP/IP (DNS) é necessário. Para ser totalmente funcional, o servidor DNS deve ser compatível com registros de recurso SRV ou registros de serviço)

  • O uso do Active Directory para adicionar um usuário ao grupo sendo utilizado no console não habilita o usuário a acessar o console mesmo se o usuário tiver permissões Endpoint Manager a ele atribuídos. Para acessar o console, o usuário precisa pertencer aos grupos LANDESK local do servidor-núcleo. Para obter mais informações, consulte Adicionar usuários de console do Endpoint Manager.

  • Para os Active Directories funcionarem corretamente com a administração baseada em funções, é necessário configurar as credenciais de servidor COM+ no servidor núcleo. Isso habilita o servidor-núcleo a usar uma conta em um dos grupos LANDESK local do servidor-núcleo, a qual tem as permissões necessárias para enumerar os membros do domínio Windows, como a conta de administrador. Para ver as instruções sobre como fazer a configuração, consulte Configuração das credenciais do servidor COM+.

Se a senha da conta para uma autenticação mudar você precisará entrar no console e mudar a senha na caixa de diálogo para aquela nova senha. Você pode fazer isso acessando como um grupo local. Os usuários são autenticados quando acessam, portanto as sessões existentes continuarão a funcionar. Os usuários no domínio que tiverem a senha trocada não terão permissão de acesso até que a senha mude da forma como foi corrigida na ferramenta Usuários.

As seguintes regras se aplicam quando usar o Active Directory com RBA:

  • Se um usuário for membro de um grupo do Active Directory, o usuário herda as permissões RBA para aquele grupo.
  • Se um usuário for membro de um grupo Active Directory, que é membro de um grupo de nível mais alto, o usuário herda os direitos RBA do grupo de nível superior.
  • Grupos podem ser aninhados e herdar os direitos adequados de acordo com as regras normais do Active Directory.
Para adicionar uma autenticação
  1. Na ferramenta Gerenciamento de usuário (Ferramentas > Administração > Gerenciamento de usuário), clique com o botão direito em Usuários e grupos e clique em Nova fonte do Active Directory.
  2. Na caixa de diálogo Fonte de Active Directory, insira as credenciais que dão acesso ao Active Directory.
  3. Clique em OK.

Ajuste da frequência de pesquisa do diretório

Um utilitário chamado Resolveusergroups.exe é executado periodicamente (a cada 20 minutos) para atualizar a lista de usuários do console de Ivanti® Endpoint Manager.

Uma vez que a lista de usuários estiver resolvida, ela é colocada em cache e usada até que o Resolveusergroups.exe seja executado novamente. Em alguns ambientes do Active Directory, se os valores de TTL forem pequenos demais, algumas contas de usuários resolvidas podem ter ultrapassado o limite de TTL antes que todas as contas sejam resolvidos. Isso faz com que o cachê seja refrescado repetidas vezes e as cargas do console sejam muito lentas.

Se isso acontecer no seu ambiente, mude as configurações padrão do TTL pra Resolveusergroups.exe. Você pode executar o Resolveusergroups.exe /? para visualizar o uso. Os valores TTL são exibidos em segundos. Um exemplo específico de configuração de valores máximos de TTL:

Resolveusergroups.exe /verbose /TTL 600 /LDTTL 60

Todas as mudanças nos valores TTL são escritas em na tabela KeyValue do banco de dados (GroupResolutionTTL e LocalLDGroupResolutionTTL), para que sejam persistentes.