Управление аутентификацией

С помощью утилиты управления пользователями можно определить учетные данные для групп Active Directory, которые получат доступ к консоли. Эти учетные данные позволят Endpoint Manager создать перечисление в каталоге. Необходимо предоставить учетные данные для каждой группы Active Directory, содержащей пользователей, которым вы хотите предоставить доступ к консоли. От предоставляемой информации об аутентификации зависит, какие группы пользователей вы можете выбрать для назначения разрешений группе консоли.

Аутентификация на консоли осуществляется на основе участия в локальной группе Windows или группе Active Directory. Когда администратор Ivanti назначает групповые разрешения локальной группе или группе Active Directory, участвующие в этой группе пользователи могут входить на консоль Windows или web-консоль и совместно используют разрешения, назначенные этой группе.

При управлении службами Active Directory для работы с Endpoint Manager вы можете столкнуться со следующими проблемами:

  • Требуется полная интеграция Active Directory с DNS и TCP/IP (DNS). Для обеспечения полного набора функциональных возможностей DNS-сервер должен поддерживать SRV-записи ресурсов или записи служб.

  • Если с помощью Active Directory добавить пользователя в группу, используемую на консоли, пользователь при этом не сможет входить на консоль, даже если ему назначены разрешения Endpoint Manager. Входить на консоль может только пользователь, являющийся участником локальных групп LANDESK главного сервера. Для получения дополнительной информации см. Для получения дополнительной информации см. раздел Добавление пользователей консоли Endpoint Manager.

  • Чтобы службы Active Directory надлежащим образом работали с ролевым администрированием, необходимо сконфигурировать учетные данные сервера COM+ на главном сервере. Это позволит главному серверу использовать учетную запись в одной из локальных групп LANDESK главного сервера, обладающую необходимыми разрешениями, для перечисления членов домена Windows (например, учетную запись администратора). Для получения инструкций по выполнению конфигурации см. раздел Конфигурация учетных данных сервера COM+.

При изменении пароля учетной записи для аутентификации необходимо войти на консоль и в диалоговом окне аутентификации сменить пароль на новый. Для этого вы можете войти в качестве локальной группы. Пользователи аутентифицируются при входе, поэтому существующий сеанс продолжает работать. Пользователи домена с измененным паролем не смогут войти на консоль, пока пароль не будет изменен в утилите управления пользователями.

К использованию Active Directory с ролевым администрированием применяются следующие правила:

  • Если пользователь является участником группы Active Directory, он наследует права ролевого администрирования для этой группы.
  • Если пользователь является участником группы Active Directory, входящей в группу более высокого уровня, пользователь наследует права ролевого администрирования группы верхнего уровня.
  • Группы могут быть вложенными и наследовать соответствующие права согласно обычным правилам Active Directory.
Для добавления аутентификации выполните следующие действия:
  1. В средстве управления пользователями (Сервис > Администрирование > Управление пользователями (Tools > Administration > User management)) нажмите правой кнопкой мыши Пользователи и группы (Users and groups) и выберите Новый источник Active Directory (New Active Directory source).
  2. В диалоге Источник Active Directory (Active Directory source) введите учетные данные, дающие доступ к Active Directory.
  3. Нажмите OK.

Настройка частоты запросов каталога

Приложение Resolveusergroups.exe запускается периодически (каждые 20 минут) для обновления списка пользователей консоли Ivanti® Endpoint Manager.

После определения элементов списка пользователей последний помещается в кэш-память и используется до следующего запуска Resolveusergroups.exe. В некоторых средах каталога Active Directory в случае, когда значения TTL слишком малы, некоторые значения количества обнаруженных учетных записей пользователей могут превысить допустимый предел TTL до обнаружения всех пользователей. В этом случает кэш-память обновляется непрерывно, а консоль загружается слишком медленно.

Если это произойдет в вашем сетевом окружении, измените настройки TTL по умолчанию для утилиты Resolveusergroups.exe. Вы можете запустить ее с параметром Resolveusergroups.exe /?, чтобы узнать о вариантах использования. Значения TTL представляют собой интервалы времени в секундах. Далее следует пример, в котором устанавливаются максимальные значения TTL:

Resolveusergroups.exe /verbose /TTL 600 /LDTTL 60

Любые изменения для значений TTL записываются в таблицу KeyValue в базе данных (GroupResolutionTTL и LocalLDGroupResolutionTTL), где они хранятся до следующего изменения.