Mostrando postagens com marcador Melhores Práticas. Mostrar todas as postagens
Mostrando postagens com marcador Melhores Práticas. Mostrar todas as postagens

quarta-feira, 3 de fevereiro de 2010

Quick Tips!!!

Olá!

Você sabe o que é um SPN?

Resumidamente, podemos definir o mapeamento SPN ou Service Principal Name como a forma de associar um serviço em um servidor específico com a conta de serviço responsável por este serviço, permitindo assim a autenticação Kerberos (mutual Kerberos Authentication). Para utilizar a autenticação Kerberos mútua, a camada de segurança do Windows deve ser capaz de determinar a conta que um serviço que está usando.

No FIM2010 para habilitar a autenticação Kerberos nós devemos estabelecer os mapeamentos SPN no domínio.

Ao estabelecer o mapeamento SPN da conta de serviço do FIM2010 com o servidor onde o FIM2010 Service está instalado fará com que o tráfego de informações seja feita de modo seguro e isso também é pré-requisito para que estações clientes se comuniquem com o FIMService.

Para Estabelecer mapeamentos SPN usamos os seguintes comandos com este cenário:

Servidor FIMService e Portal instalado: FABRIKAMFIM2010
Conta de serviço: FIMService
Dimínio: FABRIKAM

setspn –A FIMService/FABRIKAMFIM2010 FABRIKAM\FIMService
setspn –A HTTP/FABRIKAMFIM2010 FABRIKAM\FIMService

Além dos comandos acima, temos que fazer alguns ajustes na conta de computador na qual o FIM2010 está instalado:

  • Na guia Delegations da conta de computador marque “Trust this computer for delegation to specified services only”, marque “Use Kerberos only” e clique no botão “Add

ComputerAccount1

  • Selecione a conta de serviço do FIM2010. Os dois SPN´s deverão aparecer. Clique no botão “OK”.

ComputerAccount2

  • Clique no botão “OK” para confirmar.

ComputerAccount3 

Para mais detalhes sobre SPN no FIM2010 veja na documentação oficial a parte “Establish Service Principal Names (SPN) for FIM 2010

Até breve!

Publicado por Paulo H. Campos em 14:48 0 comentários
Labels: , , , , , ,

terça-feira, 5 de janeiro de 2010

Como configurar corretamente uma conta de rede para o Management Agent do Active Directory

Olá!!!
Um ponto abordado quando falamos de contas de serviço para os Management Agents do FIM2010 é o nível de permissões que essas contas precisam ter.
No caso do  uma conta comum é sulficiente.
Quando você configura um ADMA (Active Directory Management Agent) no seu ambiente, você precisa fornecer uma conta que será usada pelo seu agente para se conectar ao Active Directory.
Para o FIM2010, não há necessidade de usar uma conta de usuário do AD que seja membro de grupos de segurança administrativa (Ex.: Domain Admins).

Definido como “Melhores Práticas”, você deve usar uma conta de usuário padrão. No entanto, a conta deve ter direitos suficientes para garantir que informações possam ser trocadas entre o FIM2010 e o AD. Essas informações são trocadas de duas formas distintas:
  • Importaçao de Informações (Import)
  • Exportação de Informações (Export)
Para garantir que uma conta comum tenha as permissões apropriadas para fazer esse sincronismo de informações entre o AD e o FIM2010, basta que a conta tenha permissão de consulta ao DirSync, uma vez que a conta não consultará as OU´s que foram configuradas no seu MA.
A forma de configurar essa permissão, através da guia de segurança do domínio, é permitir “Replicating Directory Changes” para a conta conforme imagem abaixo:
account
Além da permissão dada acima, devemos também dar permissão de “Full Control” em todas as OU´s que o MA precisará gerenciar. Caso você não de a permissão nas OU´s o Synchronization Engine mostrará mensagens de “permission-issue”.
Em breve, mais posts… Até mais!!!
Publicado por Paulo H. Campos em 15:12 0 comentários
Labels: , , ,
Assinar: Postagens (Atom)