Untangle UTM > Aplicaciones > Directory Connector
Directory Connector
Acerca de conector Directory
Conector Directory permite a NG Firewall comunicarse con servidores de directorios, tales como built-in de NG Firewall directorio local, de Microsoft Active Directory o servidores que dan soporte RADIUS . Asigna nombres de usuarios a las direcciones IP para que las políticas pueden ser creados por los nombres de usuario (o grupos de Active Directory) y los informes pueden ser vistos por nombre de usuario.
Configuración
En esta sección se examinan las diferentes configuraciones y opciones de configuración disponibles para conector Directory.
Primeros pasos con conector Directory antes de que se cree, hay algunas cosas a revisar:
1. Asegúrese de que los usuarios de Active Directory están en un dominio. Los usuarios pueden estar en varias unidades organizativas de Active Directory (OU), pero tienen que estar bajo un dominio - dominios múltiples no son compatibles en este momento.
2. Si usted está planeando utilizar Portal Cautivo, el controlador de dominio debe ser añadido al Listado Direcciones Client Pass.
3. Revise para ver si usted tiene la consola de administración de directiva de grupo instalado, si no, instalarla.
4. Si está ejecutando Active Directory en Windows Server 2008, consulte este FAQ entrada sobre cómo desactivar el requisito de LDAP firmado si se ha instalado con la configuración de seguridad más estrictas.
Estado
Esta pestaña lista las direcciones IP actual asignada a los nombres de usuario ni por el guión de entrada de Active Directory o portal cautivo. El método de autenticación también se muestra junto con la información del grupo.
Conector de Active Directory
La ficha del conector de Active Directory contiene la configuración de la conexión y la comunicación con un controlador de dominio. Otras aplicaciones como el Portal Cautivo pueden utilizar conector Directory para autenticar e identificar a usuarios en un controlador de dominio existente.
§ IP del servidor AD o nombre de host: La dirección IP o nombre de host del servidor de AD - se recomienda utilizar el IP para evitar problemas de DNS.
§ Puerto: El puerto se utiliza para conectarse al servidor de AD. El valor predeterminado es 389.
§ Autenticación Acceso: Introduzca un inicio de sesión del administrador de Active Directory.
§ Contraseña de autenticación: Introduzca una contraseña de administrador de Active Directory.
§ Dominio de Active Directory: Su dominio, (por ejemplo miempresa.local).
§ Organización de Active Directory: La unidad organizativa de Active Directory (OU) que contiene los usuarios. Si desea que el servidor Untangle encuentre todos los usuarios, deje este espacio en blanco.
Si por alguna razón usted desea limitar a los usuarios a una parte específica del árbol de dominio, especifique la ruta OU en el formato de la OU = ouName . Puede introducir múltiples OU está separado por una coma, como OU = ouName1, OU = ouName2 .
Puede utilizar las herramientas de prueba para verificar la configuración y ver una incompleta lista de usuarios. Después de configurar Active Directory, puede configurar Portal Cautivo utilizarlo para autenticar a los usuarios si lo desea.
Login Script Active Directory
Si desea utilizar el nombre de usuario Mapa de las políticas per-user/group o informes por usuario, tienes dos opciones - el guión de entrada de Active Directory (ADLS) y portal cautivo. Si es posible, se recomienda utilizar el ADSL, ya que se ejecuta automáticamente cuando los usuarios inician sesión, cuando se utiliza Portal Cautivo tendrán que introducir sus credenciales para iniciar sesión en Windows, y luego de nuevo para acceder a Internet.
El ADSL es un pequeño script que está dirigido por equipos de la red al iniciar sesión. Una vez instalado, el script se inicia cada vez que un usuario inicia sesión en la red e inmediatamente notifica NG Firewall del nombre de usuario y la dirección IP. Una vez finalizado este proceso, cualquier actividad de esa dirección IP se asignará automáticamente al nombre de usuario. Estos guiones se ejecuta al iniciar sesión y periódicamente en segundo plano para mantener el Mapa de "Directory Connector" del Usuario actualizado con toda la información sobre los usuarios de la red. Para descargar el guión de entrada de Active Directory, asegúrese de que está conectado a la interfaz Web de NG Firewall desde el controlador de dominio. En la pestaña de conector de Active Directory , haga clic en el botón Guión de entrada AD y descargar el script.
Ahora que tiene las ADLS en el controlador de dominio, debe decidir si desea que se ejecute para todos los usuarios del dominio o sólo para determinados usuarios.
ADLS para todo el dominio
Para aplicar ADLS a todo su dominio que necesita para crear un nuevo objeto de directiva de grupo - por favor siga las siguientes instrucciones.
1. Inicie sesión en el controlador de dominio, a continuación, inicie la Consola de administración de directivas de grupo (Inicio > Ejecutar: gpmc.msc).
2. Desde la consola de administración de directivas de grupo, haga click en el dominio y seleccione Crear y vincular un GPO aquí.
3. Especifique un nombre para la directiva de grupo.
4. Haga click en la directiva de grupo que acaba de crear y haga clic en Editar.
5. Vaya a Configuración de usuario > Configuración de Windows > Secuencias de comandos (inicio de sesión / cierre de sesión).
6. Haga click en el inicio de sesión ícono y después en Mostrar archivos. Explorador de Windows se iniciará en el directorio correcto.
7. Copie el adlogon_user.vbs archivo que ha descargado en esta ubicación.
8. Haga click en el Agregar botón, busque la secuencia de comandos, haga click en Aceptar.
9. En la ventana Propiedades de inicio de sesión, haga click en Agregar, escriba el nombre de la secuencia descriptiva, a continuación, haga click en Aceptar.
10. En la ventana Seleccionar usuario, equipo o grupo, seleccione la unidad organizativa o grupo al que desea aplicar este GPO.
11. Desde un símbolo del sistema, activar la directiva de grupo que acaba de crear: gpupdate / force.
Usted puede comprobar que funciona mediante la búsqueda de los usuarios a aparecer en el mapa de nombre de usuario en la ficha de Estado.
ADLS para usuarios específicos Si sólo desea utilizar las ADLS para algunos usuarios, puede utilizar estas instrucciones:
1. Abra la interfaz Web de NG Firewall del controlador de dominio , a continuación, guarde el adlogon_user.vbs archivo a \ \ localhost \ \ NETLOGON.
2. Con un editor de texto, cree un local.bat archivo con las siguientes líneas:
@ Echo off
\ \ \ Netlogon \ ADServerIPAddress adlogon_user.vbs
3. Guarde el local.bat archivo a \ \ localhost \ \ NETLOGON.
4. Desde el dominio, vaya al usuario carpeta, haga click en el usuario y vaya a Propiedades.
5. En la ficha Perfil, escriba el nombre del archivo de las ADLS (probablemente adlogon_user.vbs ) en el campo Script de inicio de sesión.
6. Inicie la Consola de administración de directivas de grupo, a continuación, inicie el Editor de objetos de directiva de grupo (Inicio > Ejecutar: gpedit.msc).
7. Copie el adlogon_user.vbs archivo que ha descargado en el primer paso para esta ubicación.
Conector RADIUS El conector permite la autenticación de RADIUS a un directorio utilizando el protocolo RADIUS. Otras aplicaciones como el portal cautivo puede usar el conector RADIUS para autenticar e identificar a los usuarios en un servidor RADIUS existente.
IP o nombre de host del servidor RADIUS: La IP o nombre del host del servidor RADIUS - se recomienda utilizar el IP para evitar problemas de DNS.
Puerto: El puerto se utiliza para conectarse al servidor RADIUS. El valor predeterminado es 1812.
Secreto compartido: Debe coincidir con el conjunto secreto compartido en el servidor RADIUS.
Método de autenticación: Debe coincidir con el método de autenticación utilizado por el servidor RADIUS.
Usted puede utilizar la herramienta de prueba para verificar la configuración. Después de configurar RADIUS, puede configurar Portal Cautivo utilizarlo para autenticar a los usuarios si lo desea.
Event Log
No hay una sola
Temas relacionados
Policy Manager
Portal Cautivo
Active Directory
Directorio de conector FAQs
Los ADLS nunca se completa o no está funcionando. ¿Por qué? Usted tendrá que asegurarse de controlador de dominio que tiene los siguientes valores:
ComputerConf > Políticas > Plantillas administrativas > Sistema > Scripts
- Ejecutar secuencias de comandos de inicio de sesión síncrona = desactivado
- Ejecutar los scripts de arranque de forma asíncrona = habilitado
Userconf > Políticas > Plantillas administrativas > Sistema > Scripts
- Ejecutar secuencias de comandos de inicio de sesión síncrona = desactivado
Un usuario resolvió el problema agregando el guión aquí:
Userconf > Política > Plantillas administrativas > Sistema > Logon > Ejecutar estos programas cuando inicia la conexión del sistema
¿Qué hay de compartir direcciones IP, al igual que con un Terminal Server? El conector de Directory funciona mediante la asignación de direcciones IP a nombres de usuario, cualquier intercambio de direcciones IP significa que el conector de Directory no será capaz de indicar a los usuarios las tesis aparte. Después de algunas pruebas, hemos visto que un producto llamado IP virtual si se combina con portal cautivo permite a estos usuarios que se diferencian y se convierten en objeto de políticas y filtrado. Esto no ha sido probado con el script de inicio de sesión - vamos a actualizar esta entrada cuando tengamos más información. IP virtual sólo está disponible como parte del Access Suite Thinomenon.
¿Por qué sólo puedo ver 1000 usuarios? Untangle puede leer más de 1000 usuarios de Active Directory, sin embargo, el servidor de AD debe estar configurado para enviar a más de 1.000 usuarios. Ejecute los siguientes comandos desde el símbolo del sistema en el servidor de AD para enviar hasta 5.000 usuarios:
ntdsutil.exe
LDAP policies
Connections
Connect to server addomainname.local
Quit Set MaxPageSize to 5000
Commit Changes
Quit
Quit
El guión de entrada de Active Directory sigue sin funcionar - ¿qué puedo hacer? Una forma de comprobar si la secuencia de comandos de inicio de sesión funciona o no es comprobar la página de estado para ver el actual nombre de usuario Map. Si usted está viendo ninguna entrada después de ejecutar la secuencia de comandos manualmente, editar el script y asegúrese de que la dirección IP interna de NG Firewall aparece. Si usted está en el modo de puente, asegúrese de Alertas administrador no le está diciendo a su puente es al revés.
¿Funciona el GPMC (Grupo Policy Management Console), con un sistema operativo de 64 bits? No oficialmente - por favor revise este enlace o en contacto con Microsoft para obtener más información.
¿Por qué los grupos de seguridad no aparece? Grupos de seguridad no se muestran cuando se utiliza el botón de usuario de Active Directory , se mostrarán cuando seleccione los usuarios en el Administrador de directivas. Sólo los grupos de seguridad se mostrarán, no OU.
Estoy autenticando a los usuarios de portal cautivo en Active Directory, pero no aparecen los nombres en el nombre de usuario "Mapa". ¿Por qué? Portal Cautivo debe ir en el bastidor después conector Directory funcione correctamente - esto se refiere al orden en el que están instalados en el bastidor, no el orden en que aparecen en el rack. Si usted está viendo este tema, basta con quitar Portal Cautivo en el bastidor, a continuación, añadir de nuevo en el rack y reconfigurarlo. La próxima vez que un usuario inicia sesión a través de ella, se debe rellenar correctamente el mapa del nombre de usuario.
¿Puedo utilizar las ADLS con mis máquinas OSX? Mientras NG Firewall no admita directamente este, uno de nuestros usuarios que ha adaptado algunos vales existentes para proporcionar la misma funcionalidad.
¿Es compatible con todas las versiones de Active Directory? Para los clientes que ejecutan las ADLS, cualquier versión de Windows XP o posterior debería funcionar. Para los servidores, por favor consulte la tabla siguiente. Si está ejecutando Windows Server 2008 y que ha instalado con la configuración de seguridad más estrictas, debe desactivar el requisito de la seguridad LDAP firmado. Microsoft tiene un artículo para habilitar la función de aquí, sin embargo, para nuestros propósitos es necesario deshabilitado. A continuación, debe ejecutar gpupdate / force en el servidor para actualizar la directiva de grupo actual.
Conector Directory permite a NG Firewall comunicarse con servidores de directorios, tales como built-in de NG Firewall directorio local, de Microsoft Active Directory o servidores que dan soporte RADIUS . Asigna nombres de usuarios a las direcciones IP para que las políticas pueden ser creados por los nombres de usuario (o grupos de Active Directory) y los informes pueden ser vistos por nombre de usuario.
Configuración
En esta sección se examinan las diferentes configuraciones y opciones de configuración disponibles para conector Directory.
Primeros pasos con conector Directory antes de que se cree, hay algunas cosas a revisar:
1. Asegúrese de que los usuarios de Active Directory están en un dominio. Los usuarios pueden estar en varias unidades organizativas de Active Directory (OU), pero tienen que estar bajo un dominio - dominios múltiples no son compatibles en este momento.
2. Si usted está planeando utilizar Portal Cautivo, el controlador de dominio debe ser añadido al Listado Direcciones Client Pass.
3. Revise para ver si usted tiene la consola de administración de directiva de grupo instalado, si no, instalarla.
4. Si está ejecutando Active Directory en Windows Server 2008, consulte este FAQ entrada sobre cómo desactivar el requisito de LDAP firmado si se ha instalado con la configuración de seguridad más estrictas.
Estado
Esta pestaña lista las direcciones IP actual asignada a los nombres de usuario ni por el guión de entrada de Active Directory o portal cautivo. El método de autenticación también se muestra junto con la información del grupo.
Conector de Active Directory
La ficha del conector de Active Directory contiene la configuración de la conexión y la comunicación con un controlador de dominio. Otras aplicaciones como el Portal Cautivo pueden utilizar conector Directory para autenticar e identificar a usuarios en un controlador de dominio existente.
§ IP del servidor AD o nombre de host: La dirección IP o nombre de host del servidor de AD - se recomienda utilizar el IP para evitar problemas de DNS.
§ Puerto: El puerto se utiliza para conectarse al servidor de AD. El valor predeterminado es 389.
§ Autenticación Acceso: Introduzca un inicio de sesión del administrador de Active Directory.
§ Contraseña de autenticación: Introduzca una contraseña de administrador de Active Directory.
§ Dominio de Active Directory: Su dominio, (por ejemplo miempresa.local).
§ Organización de Active Directory: La unidad organizativa de Active Directory (OU) que contiene los usuarios. Si desea que el servidor Untangle encuentre todos los usuarios, deje este espacio en blanco.
Si por alguna razón usted desea limitar a los usuarios a una parte específica del árbol de dominio, especifique la ruta OU en el formato de la OU = ouName . Puede introducir múltiples OU está separado por una coma, como OU = ouName1, OU = ouName2 .
Puede utilizar las herramientas de prueba para verificar la configuración y ver una incompleta lista de usuarios. Después de configurar Active Directory, puede configurar Portal Cautivo utilizarlo para autenticar a los usuarios si lo desea.
Login Script Active Directory
Si desea utilizar el nombre de usuario Mapa de las políticas per-user/group o informes por usuario, tienes dos opciones - el guión de entrada de Active Directory (ADLS) y portal cautivo. Si es posible, se recomienda utilizar el ADSL, ya que se ejecuta automáticamente cuando los usuarios inician sesión, cuando se utiliza Portal Cautivo tendrán que introducir sus credenciales para iniciar sesión en Windows, y luego de nuevo para acceder a Internet.
El ADSL es un pequeño script que está dirigido por equipos de la red al iniciar sesión. Una vez instalado, el script se inicia cada vez que un usuario inicia sesión en la red e inmediatamente notifica NG Firewall del nombre de usuario y la dirección IP. Una vez finalizado este proceso, cualquier actividad de esa dirección IP se asignará automáticamente al nombre de usuario. Estos guiones se ejecuta al iniciar sesión y periódicamente en segundo plano para mantener el Mapa de "Directory Connector" del Usuario actualizado con toda la información sobre los usuarios de la red. Para descargar el guión de entrada de Active Directory, asegúrese de que está conectado a la interfaz Web de NG Firewall desde el controlador de dominio. En la pestaña de conector de Active Directory , haga clic en el botón Guión de entrada AD y descargar el script.
Ahora que tiene las ADLS en el controlador de dominio, debe decidir si desea que se ejecute para todos los usuarios del dominio o sólo para determinados usuarios.
ADLS para todo el dominio
Para aplicar ADLS a todo su dominio que necesita para crear un nuevo objeto de directiva de grupo - por favor siga las siguientes instrucciones.
1. Inicie sesión en el controlador de dominio, a continuación, inicie la Consola de administración de directivas de grupo (Inicio > Ejecutar: gpmc.msc).
2. Desde la consola de administración de directivas de grupo, haga click en el dominio y seleccione Crear y vincular un GPO aquí.
3. Especifique un nombre para la directiva de grupo.
4. Haga click en la directiva de grupo que acaba de crear y haga clic en Editar.
5. Vaya a Configuración de usuario > Configuración de Windows > Secuencias de comandos (inicio de sesión / cierre de sesión).
6. Haga click en el inicio de sesión ícono y después en Mostrar archivos. Explorador de Windows se iniciará en el directorio correcto.
7. Copie el adlogon_user.vbs archivo que ha descargado en esta ubicación.
8. Haga click en el Agregar botón, busque la secuencia de comandos, haga click en Aceptar.
9. En la ventana Propiedades de inicio de sesión, haga click en Agregar, escriba el nombre de la secuencia descriptiva, a continuación, haga click en Aceptar.
10. En la ventana Seleccionar usuario, equipo o grupo, seleccione la unidad organizativa o grupo al que desea aplicar este GPO.
11. Desde un símbolo del sistema, activar la directiva de grupo que acaba de crear: gpupdate / force.
Usted puede comprobar que funciona mediante la búsqueda de los usuarios a aparecer en el mapa de nombre de usuario en la ficha de Estado.
ADLS para usuarios específicos Si sólo desea utilizar las ADLS para algunos usuarios, puede utilizar estas instrucciones:
1. Abra la interfaz Web de NG Firewall del controlador de dominio , a continuación, guarde el adlogon_user.vbs archivo a \ \ localhost \ \ NETLOGON.
2. Con un editor de texto, cree un local.bat archivo con las siguientes líneas:
@ Echo off
\ \ \ Netlogon \ ADServerIPAddress adlogon_user.vbs
3. Guarde el local.bat archivo a \ \ localhost \ \ NETLOGON.
4. Desde el dominio, vaya al usuario carpeta, haga click en el usuario y vaya a Propiedades.
5. En la ficha Perfil, escriba el nombre del archivo de las ADLS (probablemente adlogon_user.vbs ) en el campo Script de inicio de sesión.
6. Inicie la Consola de administración de directivas de grupo, a continuación, inicie el Editor de objetos de directiva de grupo (Inicio > Ejecutar: gpedit.msc).
7. Copie el adlogon_user.vbs archivo que ha descargado en el primer paso para esta ubicación.
Conector RADIUS El conector permite la autenticación de RADIUS a un directorio utilizando el protocolo RADIUS. Otras aplicaciones como el portal cautivo puede usar el conector RADIUS para autenticar e identificar a los usuarios en un servidor RADIUS existente.
IP o nombre de host del servidor RADIUS: La IP o nombre del host del servidor RADIUS - se recomienda utilizar el IP para evitar problemas de DNS.
Puerto: El puerto se utiliza para conectarse al servidor RADIUS. El valor predeterminado es 1812.
Secreto compartido: Debe coincidir con el conjunto secreto compartido en el servidor RADIUS.
Método de autenticación: Debe coincidir con el método de autenticación utilizado por el servidor RADIUS.
Usted puede utilizar la herramienta de prueba para verificar la configuración. Después de configurar RADIUS, puede configurar Portal Cautivo utilizarlo para autenticar a los usuarios si lo desea.
Event Log
No hay una sola
Temas relacionados
Policy Manager
Portal Cautivo
Active Directory
Directorio de conector FAQs
Los ADLS nunca se completa o no está funcionando. ¿Por qué? Usted tendrá que asegurarse de controlador de dominio que tiene los siguientes valores:
ComputerConf > Políticas > Plantillas administrativas > Sistema > Scripts
- Ejecutar secuencias de comandos de inicio de sesión síncrona = desactivado
- Ejecutar los scripts de arranque de forma asíncrona = habilitado
Userconf > Políticas > Plantillas administrativas > Sistema > Scripts
- Ejecutar secuencias de comandos de inicio de sesión síncrona = desactivado
Un usuario resolvió el problema agregando el guión aquí:
Userconf > Política > Plantillas administrativas > Sistema > Logon > Ejecutar estos programas cuando inicia la conexión del sistema
¿Qué hay de compartir direcciones IP, al igual que con un Terminal Server? El conector de Directory funciona mediante la asignación de direcciones IP a nombres de usuario, cualquier intercambio de direcciones IP significa que el conector de Directory no será capaz de indicar a los usuarios las tesis aparte. Después de algunas pruebas, hemos visto que un producto llamado IP virtual si se combina con portal cautivo permite a estos usuarios que se diferencian y se convierten en objeto de políticas y filtrado. Esto no ha sido probado con el script de inicio de sesión - vamos a actualizar esta entrada cuando tengamos más información. IP virtual sólo está disponible como parte del Access Suite Thinomenon.
¿Por qué sólo puedo ver 1000 usuarios? Untangle puede leer más de 1000 usuarios de Active Directory, sin embargo, el servidor de AD debe estar configurado para enviar a más de 1.000 usuarios. Ejecute los siguientes comandos desde el símbolo del sistema en el servidor de AD para enviar hasta 5.000 usuarios:
ntdsutil.exe
LDAP policies
Connections
Connect to server addomainname.local
Quit Set MaxPageSize to 5000
Commit Changes
Quit
Quit
El guión de entrada de Active Directory sigue sin funcionar - ¿qué puedo hacer? Una forma de comprobar si la secuencia de comandos de inicio de sesión funciona o no es comprobar la página de estado para ver el actual nombre de usuario Map. Si usted está viendo ninguna entrada después de ejecutar la secuencia de comandos manualmente, editar el script y asegúrese de que la dirección IP interna de NG Firewall aparece. Si usted está en el modo de puente, asegúrese de Alertas administrador no le está diciendo a su puente es al revés.
¿Funciona el GPMC (Grupo Policy Management Console), con un sistema operativo de 64 bits? No oficialmente - por favor revise este enlace o en contacto con Microsoft para obtener más información.
¿Por qué los grupos de seguridad no aparece? Grupos de seguridad no se muestran cuando se utiliza el botón de usuario de Active Directory , se mostrarán cuando seleccione los usuarios en el Administrador de directivas. Sólo los grupos de seguridad se mostrarán, no OU.
Estoy autenticando a los usuarios de portal cautivo en Active Directory, pero no aparecen los nombres en el nombre de usuario "Mapa". ¿Por qué? Portal Cautivo debe ir en el bastidor después conector Directory funcione correctamente - esto se refiere al orden en el que están instalados en el bastidor, no el orden en que aparecen en el rack. Si usted está viendo este tema, basta con quitar Portal Cautivo en el bastidor, a continuación, añadir de nuevo en el rack y reconfigurarlo. La próxima vez que un usuario inicia sesión a través de ella, se debe rellenar correctamente el mapa del nombre de usuario.
¿Puedo utilizar las ADLS con mis máquinas OSX? Mientras NG Firewall no admita directamente este, uno de nuestros usuarios que ha adaptado algunos vales existentes para proporcionar la misma funcionalidad.
¿Es compatible con todas las versiones de Active Directory? Para los clientes que ejecutan las ADLS, cualquier versión de Windows XP o posterior debería funcionar. Para los servidores, por favor consulte la tabla siguiente. Si está ejecutando Windows Server 2008 y que ha instalado con la configuración de seguridad más estrictas, debe desactivar el requisito de la seguridad LDAP firmado. Microsoft tiene un artículo para habilitar la función de aquí, sin embargo, para nuestros propósitos es necesario deshabilitado. A continuación, debe ejecutar gpupdate / force en el servidor para actualizar la directiva de grupo actual.
No sé cómo entrar en los campos
Usted puede utilizar la imagen de abajo para obtener la información directamente desde el servidor, sin embargo, le recomendamos ponerse en contacto con el administrador de Active Directory para ayudarle a configurar esto.
Usted puede utilizar la imagen de abajo para obtener la información directamente desde el servidor, sin embargo, le recomendamos ponerse en contacto con el administrador de Active Directory para ayudarle a configurar esto.
NG Firewall > Aplicaciones > Directory Connector