Definições Gerais
Nome
Cria um nome exclusivo para ajudar a identificar este objecto. Activado: Este fornecedor está activado
Se estiver seleccionado, o seu Aparelho Bomgar pode pesquisar este fornecedor de segurança quando um utilizador tentar iniciar sessão. Se não estiver seleccionado, este fornecedor não será pesquisado.
Nomes de visualização do utilizador: Manter o nome de visualização sincronizado com o sistema remoto Estes valores determinam que campos devem ser utilizados como nomes de visualização e privado do utilizador. Sincronização: Ativar cache do objeto LDAP
Se estiver selecionado, os objetos LDAP visíveis ao aparelho são colocados na memória cache e sincronizados durante a noite, ou manualmente, se pretendido. Quando utilizar esta opção, são efetuadas menos ligações no servidor LDAP para fins
administrativos, e como consequência, aumenta potencialmente a velocidade e a eficiência.
Se não estiver selecionada, as alterações ao servidor LDAP ficam disponíveis de imediato disponibilizadas, não sendo necessário sincronizá-las. Contudo, quando faz alterações às políticas de utilizador através da interface administrativa, podem ocorrer várias ligações LDAP de curta duração, conforme for necessário.
Para os fornecedores que tinham a configuração de sincronização ativada, desativar ou desmarcar a opção de sincronização irá fazer com que sejam eliminados todos os registos colocados na memória cache que não estejam a ser utilizados.
Definições de autorização
Pesquisar grupos
Política de grupo predefinida(Visível apenas se a autenticação de utilizador for permitda)
Cada utilizador que autentica num fornecedor de segurança deve ser membro de, pelo menos, uma política de grupo para autenticar-se no Aparelho Bomgar, iniciando sessão na interface /login ou na consola de apoio técnico. Pode seleccionar uma política de grupo padrão para aplicar a todos os utilizadores com permissão para autenticar no servidor configurado.
Note que se uma política predefinida estiver definida, qualquer utilizador autorizado que seja autenticado neste servidor pode ter acesso no nível desta política predefinida. Por conseguinte, recomenda-se que defina a predefinição para uma política com privilégios mínimos, para que os utilizadores não obtenham permissões que você não pretende que eles tenham.
Nota: Se um utilizador estiver numa política de grupo predefinido e for adicionado a outra política de grupos, as definições
para a política específica terão sempre precedência em relação às definições da predefinição, mesmo se a política específica tiver menos prioridade do que a predefinição, e mesmo se as definições da política predefinida forem definidas para desactivar a substituição.
Definições de ligação
Nome do anfitrião
Insira o nome do anfitrião do servidor que aloja o seu armazenamento de directórios externo.
Nota: Se utilizar o LDAPS ou o LDAP com TLS, o nome do anfitrião deve corresponder ao nome do anfitrião utilizado no nome
de assunto do certificado SSL público no servidor LDAP ou o componente DNS no nome de assunto alternativo.
Porta
Especifique a porta do seu servidor LDAP. Normalmente, é a porta 389 para LDAP ou a porta 636 para LDAPS. A Bomgar também suporta um catálogo global através da porta 3268 para LDAP ou 3269 para LDAPS.
Encriptação
Seleccione o tipo de encriptação a utilizar ao comunicar com o servidor LDAP. Para fins de segurança, LDAPS ou LDAP com TLS é recomendado.
Nota: O LDAP normal envia e recebe dados em texto não encriptado com regularidade do servidor LDAP, expondo
potencialmente informações sensíveis da conta de utilizador a interceção e análise de pacotes. Tanto o LDAPS como LDAP com TLS encriptam os dados de utilizador quando são transferidos, o que faz com que estes métodos sejam preferenciais em relação ao LDAP normal. LDAP com TLS utiliza a função StartTLS para iniciar uma ligação através de LDAP com texto não encriptado, mas eleva-o para uma ligação encriptada. LDAPS inicia a ligação através de uma ligação encriptada sem enviar dados de maneira não encriptada.
Se seleccionar LDAPS ou LDAP com TLS, deve carregar o certificado SSL raiz utilizado pelo seu servidor LDAP. Isto é necessário para garantir a validade do servidor e a segurança dos dados. O certificado raiz deve estar no formato PEM.
Nota: Se o assunto do certificado SSL público do servidor LDAP ou o componente DNS do respectivo nome do assunto
alternativo não corresponder ao valor no campo Nome do anfitrião, o fornecedor será tratado como não disponível. No entanto, pode utilizar um certificado de carácter universal para certificar vários subdomínios do mesmo site. Por exemplo, um certificado para *.example.com certificaria tanto site.example.com como remote.example.com.
Vincular credenciais
Especifique um nome de utilizador e palavra-passe com os quais o seu Aparelho Bomgar pode estabelecer ligação e pesquise o nível de armazenamento de directórios LDAP.
Se o seu servidor suportar vínculos anónimos, pode optar por vincular sem especificar um nome de utilizador e uma palavra- passe. O vínculo anónimo é considerado inseguro e é desativado por predefinição na maioria dos servidores LDAP.
Método de ligação
Se estiver a utilizar um armazenamento de diretório externo na mesma rede local do seu Aparelho Bomgar, os dois sistemas podem comunicar entre si diretamente. Neste caso, pode deixar a opção Proxy do aparelho através do Agente de Ligação desmarcada e prosseguir.
Se os dois sistemas não conseguirem comunicar diretamente, como se o seu servidor de diretório externo estivesse atrás de uma firewall, deve utilizar um agente de ligação. Transferir o agente de ligação Win32 permite ao servidor de diretório e ao seu Aparelho Bomgar comunicarem através de uma ligação de saída encriptada por SSL, sem configuração de firewall. O agente de ligação pode ser transferido para o servidor de diretório ou para um servidor separado na mesma rede do seu servidor de diretório (recomendado).
No caso acima, selecione Proxy do aparelho através do Agente de Ligação. Crie uma Palavra-passe do Agente de Ligação para utilização no processo de instalação do agente de ligação. Em seguida, clique em Transferir o Agente de Ligação, execute o instalador e siga as instruções do assistente de instalação. Durante a instalação, ser-lhe-á solicitado para introduzir o nome do fornecedor de segurança e a palavra-passe do agente de ligação que criou acima.
Tipo de directório
Para auxiliar na configuração da ligação de rede entre o seu Aparelho Bomgar e o respectivo fornecedor de segurança, pode seleccionar um tipo de directório como modelo. Isto preenche previamente os campos de configuração abaixo com dados padrão, mas que devem ser modificados para corresponder à configuração específica do seu fornecedor de segurança. O LDAP do Active Directory é o tipo de servidor mais comum, apesar de poder configurar o Bomgar para comunicar com a maioria dos tipos de fornecedores de segurança.
Definições de grupo(Visível Apenas para Grupos)
Algoritmo de selecção de membros
Seleccione o método para pesquisar os nós neste grupo.
De cima para baixo tenta primeiro o servidor com prioridade mais elevada no grupo. Se este servidor não estiver disponível ou a conta não for encontrada, é tentado o servidor de prioridade mais elevada a seguir. A pesquisa vai descendo pela lista de
servidores em grupo até a conta ser encontrada ou se determinar que a conta não existe em nenhum dos servidores especificados e disponíveis.
Round-robin foi designado para equilibrar a carga entre vários servidores. O algoritmo escolhe aleatoriamente que servidor vai ser experimentado primeiro. Se este servidor não estiver disponível ou a conta não for encontrada, é tanto outro servidor aleatório. A pesquisa continua aleatoriamente pelos servidores restantes no grupo até que a conta seja encontrada ou se verifique que a conta não existe em qualquer um dos servidores especificados e disponíveis.
Definições do esquema do utilizador
Substituir os valores do grupo(Visível Apenas para Nós de Grupos)
Se esta opção não estiver seleccionada, este nó de grupo irá utilizar as mesmas definições de esquema do grupo. Se estiver seleccionada, pode modificar as definições de esquema abaixo.
Procurar no DN de base
Determine o nível na hierarquia de directórios, especificado por um nome distinto, no qual o Aparelho Bomgar deve começar a pesquisar por utilizadores. Dependendo do tamanho do armazenamento de directórios e dos utilizadores que requerem contas Bomgar, pode melhorar o desempenho designando a unidade organizacional específica no seu armazenamento de directórios que requer acesso. Se não tiver a certeza ou se os utilizadores abrangerem várias unidades organizacionais, é aconselhável especificar o nome distinto de raiz do seu armazenamento de directórios.
Consulta do Utilizador
Especifique as informações de consulta que o Aparelho Bomgar deve utilizar para localizar o utilizador LDAP quando o utilizador tentar iniciar sessão. O campo Consulta do Utilizador aceita uma consulta LDAP padrão (RFC 2254 - Representação de
Sequência de cadeia dos Filtros de Pesquisa LDAP). Pode modificar a cadeia de consulta para personalizar como os seus utilizadores iniciam sessão e que métodos de nomes de utilizador são aceites. Para especificar o valor na cadeia que deve agir como o nome do utilizador, substitua esse valor por *.
Procurar consulta
A consulta de pesquisa afecta como os resultados são apresentados quando navega através de políticas de grupo ou embassies. Isto filtra resultados para que sejam apresentados apenas resultados específicos no menu pendente de selecção de membros quando adicionar membros a uma política de grupo ou embassy.
Classes de objecto
Especifique classes de objecto válidas para um utilizador no seu armazenamento de directórios. Apenas os utilizadores que possuam uma ou mais destas classes de objecto terão permissão para autenticação. Estas classes de objecto também são utilizadas com os nomes de atributo abaixo para indicar ao seu Aparelho Bomgar o esquema que o servidor LDAP utiliza para identificar utilizadores. Pode inserir várias classes de objecto, uma por linha.
Nomes de atributos
Especifique que campos devem ser utilizados para a ID exclusiva e os nomes de visualização de um utilizador. ID exclusivo
Este campo solicita um identificador único para o objecto. Embora o nome distinto possa servir como este ID, um nome distinto de utilizador pode alterar frequentemente durante a vida útil do utilizador, por exemplo, com a mudança de localização ou a alteração do nome do armazenamento LDAP. Por isso, a maioria dos servidores LDAP integra alguns campos únicos por objecto e não mudam durante a vida útil do utilizador. Se utilizar o nome distinto como ID único como o ID único e o nome distinto de um utilizador for alterado, esse utilizador será visto como um novo utilizador e quaisquer alterações individuais feitas especificamente na conta do utilizador Bomgar não serão aplicadas no novo utilizador. Se o seu servidor LDAP não integrar um identificador único, utilize um campo com a menor probabilidade de ter uma entrada idêntica para outro utilizador.
Utilizar o mesmo atributo para nomes de visualização públicos e privados
Se esta opção estiver seleccionada, pode especificar valores separados para os nomes de visualização público e privado do utilizador.
Nomes de visualização
Estes valores determinam que campos devem ser utilizados como nomes de visualização e privado do utilizador.
Definições do Esquema de Grupo(Visível Apenas se Efectuar Pesquisas de Grupo)
Procurar no DN de base
Determine o nível na hierarquia de directórios, especificado por um nome distinto, no qual o Aparelho Bomgar deve começar a pesquisar por grupos. Dependendo do tamanho do armazenamento de directórios e dos grupos que requerem acesso ao Aparelho Bomgar, pode melhorar o desempenho designando a unidade organizacional específica no seu armazenamento de directórios que requer acesso. Se não tiver a certeza ou se os grupos abrangerem várias unidades organizacionais, é aconselhável especificar o nome distinto de raiz do seu armazenamento de directórios.
Procurar consulta
A consulta de pesquisa afecta como os resultados são apresentados quando navega através de políticas de grupo ou embassies. Isto filtra resultados para que sejam apresentados apenas resultados específicos no menu pendente de selecção de membros quando adicionar membros a uma política de grupo ou embassy.
Classes de objecto
Especifique as classes de objecto válidas para um grupo no seu armazenamento de directórios. Serão apresentados os grupos que possuam uma ou mais destas classes de objecto. Estas classes de objecto também são utilizadas com os nomes de atributo abaixo para indicar ao seu Aparelho Bomgar o esquema que o servidor LDAP utiliza para identificar grupos. Pode inserir várias classes de objectos de grupo, uma por linha.
Nomes de atributos
Especifique que campos devem ser utilizados para o ID exclusivo e o nome de visualização de um utilizador. ID exclusivo
Este campo solicita um identificador único para o objecto. Embora o nome distinto possa servir como este ID, um nome distinto de grupo pode alterar frequentemente durante a vida útil de um grupo, por exemplo, com a mudança de localização ou a alteração do nome do armazenamento LDAP. Por isso, a maioria dos servidores LDAP integra alguns campos únicos por objecto e não mudam durante a vida útil do grupo. Se utilizar o nome distinto como ID único e um nome distinto de grupo alterar, este grupo será visto como um novo grupo e qualquer política de grupo definida para esse grupo não será aplicada no novo grupo. Se o seu servidor LDAP não integrar um identificador único, utilize um campo com a menor probabilidade de ter uma entrada idêntica para outro grupo.
Nome de Visualização
Relações de utilizador com o grupo
Este campo requer uma consulta para determinar que utilizadores pertencem a que grupos ou, pelo contrário, que grupos contêm que utilizadores.
Executar uma pesquisa recursiva para grupos
Pode optar por executar uma pesquisa recursiva para grupos. Isto executará uma consulta para um utilizador e consultas para todos os grupos aos quais pertence esse utilizador, depois uma consulta para todos os grupos aos quais esse grupo pertence, e assim por diante, até que todos os possíveis grupos associados a esse utilizador tenham sido encontrados.
Executar uma pesquisa recursiva pode ter um impacto significativo no desempenho, já que o servidor continuará a fazer consultas até encontrar informações sobre todos os grupos. Se o processo demorar muito tempo, o utilizador pode não conseguir iniciar sessão.
Uma pesquisa não recursiva cria apenas uma consulta por utilizador. Se o seu servidor LDAP tiver um campo especial que contenha todos os grupos aos quais o utilizador pertence, a pesquisa recursiva não é necessária. A pesquisa recursiva também é desnecessária se a sua arquitectura de directórios não permitir membros de grupos.
Definições de Teste
Nome de utilizador e palavra-passe
Insira um nome de utilizador e uma palavra-passe numa conta que exista no servidor que está a testar. Esta conta deve corresponder os critérios de início de sessão especificados na configuração acima.
Tentar obter atributos de utilizador e associações de grupo se as credenciais forem aceites
Se esta opção estiver selecionada, o seu teste de credencial com êxito também tentará verificar os atributos de utilizador e pesquisa de grupos. Tenha em atenção que para estas funcionalidades serem testadas com êxito, devem ser suportadas e configuradas no seu fornecedor de segurança.
Iniciar teste
Se o seu servidor estiver devidamente configurado e tiver inserido um nome de utilizador e uma palavra-passe de teste válidos, irá receber uma mensagem de sucesso. Caso contrário, verá uma mensagem de erro e um registo que ajudará a depurar o problema.