Realizar configuraciones¶
Antes de activar la conexión a Active Directory, es necesario configurar ciertos parámetros. Es posible conectar varios Active Directory e importar sus entradas en octoplant.
Como requisito previo, la autorización debe realizarse a través del sistema operativo.
- Abra el módulo Administración de usuarios.
- Seleccione la pestaña Sincronización en la barra de menús y, a continuación, seleccione el botón Políticas de cuenta.
- En la pestaña Autorización, seleccione Autorización vía sistema operativo o Autorización vía sistema operativo y administración de acceso y haga clic en Aceptar.
Para configurar los parámetros de la conexión a Active Directory, proceda del siguiente modo:
- Abra el módulo Administración de usuarios.
-
Haga clic en el botón Configurar de la barra de menús. Se mostrará el cuadro de diálogo Configuración de Active Directory. Cuando se abre por primera vez, se crea directamente una nueva configuración. Para crear una configuración adicional mientras el cuadro de diálogo está abierto, seleccione el botón Nueva de la barra de navegación de la izquierda.
-
Realice las configuraciones necesarias. Puede ver un ejemplo de configuración en la imagen de pantalla. Las entradas se describen en detalle a continuación.
-
Seleccione Activar sincronización cíclica para activar la sincronización con Active Directory para esta configuración.
Info
Por último, la importación automática y manual desde Active Directory sólo se activa cuando se selecciona el botón Activar en la barra de menús. La casilla Activar sincronización cíclica sólo habilita la configuración para ser activada posteriormente.
-
Confirme con Guardar.
- Se guardan las configuraciones. Para añadir una nueva configuración, seleccione el botón Nueva{ui}} de la barra de navegación. Para cerrar el cuadro de diálogo, seleccione OK**.
Info
Al configurar la conexión a Active Directory, los datos suministrados por el departamento informático, por ejemplo, suelen copiarse de un correo electrónico o de un documento de Word. Puede ocurrir que el programa de tratamiento de textos correspondiente cambie o añada caracteres. Esto se indica mediante un mensaje de error. Para evitarlo, se recomienda introducir los datos manualmente.
Servidor¶
| Elemento | Descripción | Valor | Ejemplo |
|---|---|---|---|
| Dirección | Nombre, dirección IP o dominio del servidor de Active Directory. Si el equipo desde el que debe conectarse no está incluido en el dominio del servidor de Active Directory, la conexión sólo es posible a través del nombre o la dirección IP del servidor de Active Directory. | Nombre, dirección IP o dominio. | 10.0.201.1 |
| Puerto | Puerto del servidor de Active Directory. | Valores enteros en el rango de 0 a 65535. El puerto por defecto es 636 para conexiones cifradas. El puerto por defecto para conexiones no encriptadas es 389. Si el puerto por defecto ya está en uso en otro lugar, seleccione otro. | 636 |
| Cifrado SSL | Conexión cifrada o no cifrada al servidor Active Directory. Por defecto, la conexión a Active Directory se realiza mediante el protocolo LDAP. | Si la casilla de control de cifrado SSL está activada, se utiliza el protocolo LDAPS. | 🗹 Cifrado SSL |
| Nombre de usuario | Nombre de usuario para acceder al servidor de Active Directory. Mensaje: Hemos implementado la autenticación automática para Active Directory. Esto significa que se utilizarán las credenciales ya autenticadas si las credenciales suministradas, nombre de usuario y contraseña, se dejan vacías en el cuadro de diálogo de vinculación de Active Directory. Para poder leer usuarios del Active Directory, el usuario configurado aquí debe tener los derechos de acceso correspondientes en el Active Directory. | Formato: {Nombre de usuario} o {Dominio}{Nombre de usuario} o {Nombre de usuario}@{Dominio}. | Administrador |
| Contraseña | Contraseña de usuario para acceder al servidor de Active Directory. Aviso: Hemos implementado la autenticación automática para Active Directory. Esto significa que las credenciales ya autenticadas se utilizarán si las credenciales suministradas, nombre de usuario y contraseña, se dejan vacías en el cuadro de diálogo de conexión a Active Directory. | {Contraseña} | ••••••••• |
| DC: | Nombre DNS del dominio. Datos según el formato de Active Directory. | Las partes de un nombre de dominio separadas por puntos se dividen en secciones individuales en el Active Directory. Cada sección se introduce mediante el prefijo DC (= Domain Component). Las secciones individuales están separadas entre sí por comas. | El dominio vdns.tst.dom está mapeado de la siguiente manera: DC=vdns,DC=tst,DC=dom |
| DN "All Users": | Nombre Distinguido (= DN) del grupo de Active Directory dentro del cual se buscan los usuarios (y otros grupos) a importar. Especificaciones según el formato de Active Directory. Un nombre distinguido representa un objeto en un directorio jerárquico. | El nombre distinguido se escribe desde los niveles jerárquicos inferiores a los superiores. El objeto en sí se introduce mediante el prefijo CN (= Common Name). Las partes individuales se separan entre sí mediante comas. | Para el grupo Club27 en la carpeta Users, el nombre distinguido tiene el siguiente aspecto: CN=Club27,CN=Usuarios |
| DN "Administrators": | Nombre Distinguido (= DN) del grupo de Active Directory cuyos usuarios se van a importar al grupo de administradores octoplant. Especificaciones según el formato de Active Directory. Un nombre distinguido representa un objeto en un directorio jerárquico. | El nombre distinguido se escribe desde los niveles jerárquicos inferiores a los superiores. El objeto en sí se introduce mediante el prefijo CN (= Common Name). Las partes individuales se separan entre sí mediante comas. Los grupos múltiples se separan entre sí mediante punto y coma. | Para el grupo Reservoir-Dogs en la carpeta Users, el nombre distinguido tiene el siguiente aspecto: CN=Reservoir-Dogs,CN=Usuarios,OU=GrupoSeguridad Este valor importará los grupos SECS-Octoplant-Engineering-1 y SECS-Octoplant-Engineering-2 y todos los usuarios de estos grupos: CN=SECS-Engineering-1,OU=test,OU=2008 R2 AD; CN=SECS-Engineering-2,OU=test 2,OU=2008 R2 AD; ... |
Especificación de rutas¶
Las rutas deben especificarse completas en el cuadro de diálogo Conexión con Active Directory. Si la ruta contiene caracteres especiales, como "+" (por ejemplo, OU=W+D), este carácter especial debe proporcionarse con una secuencia de escape "\" (por ejemplo, CN=Reservoir-Dogs, OU=W+D).
Puede utilizar el botón Comprobar para comprobar si los datos del servidor son correctos.
Salida del nombre distinguido del grupo de Active Directory¶
El nombre distinguido de un grupo de Active Directory se especifica en los campos DN "All Users": y DN "Administrators":. El nombre distinguido puede obtenerse mediante el comando PowerShell Get-ADGroup {nombre de grupo}, que se ejecuta en el controlador de Active Directory.
Ejemplo:
Atributos de usuarios importados¶
| Elemento de octoplant | Descripción | Ejemplo |
|---|---|---|
| Nombre | Atributo del Active Directory, que se utiliza como nombre de usuario en octoplant. Durante la importación, el nombre de un usuario se establece según el valor del atributo del Active Directory. | sAMAccountName |
| Nombre completo | Atributo del Active Directory que se utiliza como nombre completo en octoplant. Al importar, el nombre completo de un usuario se establece de acuerdo con el valor del atributo del Active Directory. | displayName |
| Correo electrónico | Atributo del Active Directory que se utiliza como dirección de correo electrónico en octoplant. Al importar, la dirección de correo electrónico de un usuario se establece según el valor del atributo del Active Directory. | correo |
| Teléfono | Atributo del Active Directory que se utiliza como número de teléfono en octoplant. Al importar, el número de teléfono de un usuario se establece según el valor del atributo del Active Directory. | telephoneNumber |
| Comentario | Atributo del Active Directory que se utiliza como comentario en octoplant. Al importar, el comentario de un usuario se establece según el valor del atributo del Active Directory. | Descripción |
| Dominio | Nombre de dominio o atributo de usuario del Active Directory. Si se activa la casilla de control Usar valor del "Dominio" como atributo de usuario, se puede especificar cualquier atributo de usuario del que se pueda leer o utilizar el nombre de dominio. Si la casilla de control Usar valor del "Dominio" como atributo de usuario no está activada (configuración por defecto), se introducirá el nombre NetBIOS del dominio. Características especiales: Para los atributos userPrincipalName y distinguishedName, se utiliza como nombre de dominio el primer subdominio o dominio que se encuentre. | distinguishedName: CN=NombreUsuario,OU=Desarrollo,OU=CuentasUsuario,OU=Organización,OU=Empresa,DC=subDominio,DC=Dominio,DC=localuserPrincipalName: user@subdomain.domain.local |
Atributos de grupos importados¶
| Elemento | Descripción | Ejemplo |
|---|---|---|
| Nombre: | Atributo del Active Directory que se utiliza como nombre de usuario en octoplant. Al importar, el nombre de un grupo se establece según el valor del atributo del Active Directory. | cn |
| Comentario: | Atributo del Active Directory que se utiliza como comentario del grupo en octoplant. Al importar, el comentario de un grupo se establece según el valor del atributo del Active Directory. | Descripción |
Opciones de importación¶
| Elemento | Descripción |
|---|---|
| Acción a ejecutar para los grupos ingresados en el campo DN "All Users": | Importar usuarios (no importar grupos o dependencas) Sólo se importan usuarios del AD. Los grupos y las dependencias no se importan. Importar usuarios y grupos y dependencias Los grupos especificados por los usuarios (deben ser grupos y no OUs) se importan en octoplant. (Los usuarios se asignan a sus respectivos grupos). Importar usuarios y subgrupos de primer nivel y dependencias Permite añadir/eliminar grupos en AD sin personalizar la configuración en octoplant. (Por defecto). |
| Acción a realizar si el usuario/grupo ya existe en octoplant | Comportamiento del programa, si los usuarios/grupos, que se van a importar, ya existen en octoplant. Opciones: Sobrescribir este usuario/grupo en octoplant (conservar derechos): Los usuarios/grupos ya existentes en octoplant se sobrescriben con los valores de los mismos elementos del Active Directory durante la importación. Omitir este usuario/grupo de Active Directory: Los usuarios/grupos ya existentes en octoplant no se sobrescriben con los valores de los mismos elementos durante la importación. |
| Acción a realiar si el usuario/grupo ya no existe en el Active Directory: | Comportamiento del programa si los usuarios/grupos a importar ya no existen en Active Directory. Opciones Remover protección contra escritura y bloquear usuario Los usuarios/grupos existentes en octoplant permanecen, pero los usuarios están bloqueados. Remover protección contra escritura Los usuarios/grupos existentes en octoplant permanecen sin restricciones. Eliminar usuario/grupo Los usuarios existentes en octoplant se eliminan. |
| Importación automática diaria a las: | Hora de inicio de la importación automática diaria (pueden seleccionarse horas completas) |
Información adicional¶
Gran parte de la información necesaria para la conexión al Active Directory puede encontrarse rápida y fácilmente utilizando una herramienta para la gestión del Active Directory. Una de estas herramientas es el Active Directory Explorer de Microsoft. Si se especifica explícitamente el puerto, también se puede comprobar la conexión SSL.
Ejemplo:
La siguiente captura de pantalla muestra qué información para la configuración de la conexión de Active Directory para importar el grupo Club27 de la carpeta Users se puede encontrar a través del Explorador de Active Directory. La información relacionada puede reconocerse por el mismo número.
Preguntas frecuentes¶
La conexión cifrada SSL al servidor de Active Directory falla con un mensaje de error.
Compruebe si el nombre del certificado coincide con el de la solicitud.
En el ejemplo anterior, se utilizó la dirección IP en lugar del nombre del equipo FS-2019 durante la configuración. Dado que en el certificado sólo se almacena el nombre FS-2019, se produce el error mostrado.
Para corregir el error, introduzca el nombre del equipo FS-2019 en el campo de dirección.
Importar un certificado en el servidor octoplant o comprobar su disponibilidad
Un certificado raíz identifica a una autoridad de certificación (CA). Con este certificado raíz, una CA firma uno o varios certificados subordinados, que firman los certificados SSL de los usuarios finales.
El certificado raíz debe importarse al servidor octoplant. Para ello, haga doble clic en el certificado exportado y guárdelo en Entidades de certificación raíz de confianza.
Para mostrar el certificado, presione Win + R e introduzca certmgr.msc (o certlm.msc) en el cuadro de diálogo Ejecutar.
