Utilizzo del pannello di controllo di sincronizzazione AD

Il Pannello di controllo di AD Sync viene installato con il componente Appterix del servizio di sincronizzazione AD. Il Pannello di controllo di AD Sync si trova nella cartella Utils del percorso di installazione del servizio di sincronizzazione AD (per impostazione predefinita: C:\Programmi\EgoMind\EMADSyncService\Utils). Può essere eseguito come amministratore sul server del servizio di sincronizzazione AD.

Il pannello di controllo AD Sync consente di apportare modifiche alla connessione del server alla piattaforma EgoMind, nonché di inizializzare la connessione con l'autorità di certificazione AD.

Inoltre, è possibile generare un report sullo stato di salute per il servizio di sincronizzazione AD e la connessione AD CS. 

Connessione al server

È possibile ottenere l'URL del server, l'ID client e il segreto client nell'interfaccia web della piattaforma EgoMind in Impostazioni > Integrazioni > Impostazioni di configurazione > Informazioni di accesso dopo aver fatto clic sul pulsante Genera.

suggerimento: Ogni clic sul pulsante Genera crea nuove credenziali di accesso che devono essere inserite nel pannello di controllo del servizio di sincronizzazione AD.

Per questo passaggio è sufficiente che l'utente apra il Pannello di controllo di AD Sync come amministratore.

Connessione AD CS

Per creare e utilizzare i certificati AD sulle YubiKey tramite Appterix Enrollment, sono necessari alcuni passaggi preliminari.

Accedere al server del servizio AD Sync come amministratore aziendale in una sessione interattiva e avviare il pannello di controllo di AD Sync "come amministratore".

suggerimentoL'accesso al server con un amministratore aziendale è richiesto una sola volta.

Nella sezione AD CS Connect, inserisci lo stesso nome utente e nome di dominio specificati nelle impostazioni di connessione delle impostazioni di configurazione di AD Sync nella piattaforma EgoMind.

Affinché l'utente specificato per le impostazioni di connessione di AD CS Connect e AD Sync possa rilasciare certificati, deve disporre delle seguenti autorizzazioni:
– Appartenenza al dominio come utente del dominio.
– Appartenenza al gruppo AD Certificate Publishers.
– Autorizzazione di accesso per sessioni interattive sul server del servizio AD Sync.

suggerimentoIn alcuni casi, l'accesso con il nome netBIOS (dominio/utente) causa errori durante l'esecuzione della connessione AD CS. In questi casi, è possibile immettere l'UPN dell'utente (utente@dominio.estensione) nel campo Nome utente e lasciare vuoto il campo Nome dominio.

Per Nome CA, immettere il nome della CA, che è possibile ottenere utilizzando il comando della riga di comando Certutil in Configurazione.

Quindi fare clic su Applica per consentire l'esecuzione in background della configurazione della connessione all'autorità di certificazione AD.

Attività durante la configurazione automatizzata di AD CS

Se, seguendo le spiegazioni precedenti, hai fatto clic su Applica nella sezione AD CS Connect del pannello di controllo di AD Sync, verrà eseguita una configurazione automatica di Active Directory Certificate Services (ADCS) per creare e utilizzare i modelli di certificato Appterix SmartCard Logon. 

In background, viene creato uno script PowerShell temporaneo nella sessione utente interattiva dell'amministratore aziendale, che ha fatto clic su Applica tramite il pannello di controllo di sincronizzazione AD.

suggerimentoSe è in uso uno scanner antivirus o un software simile, verificare se la creazione e l'utilizzo di questo script PowerShell sono bloccati.

L'inizializzazione una tantum della connessione AD CS esegue i seguenti passaggi:
Lo script convalida l'utente di destinazione e garantisce che lo script venga eseguito in un ambiente di dominio (non localmente).
Il modello SmartCardLogon predefinito viene individuato e utilizzato per creare il nuovo modello AppterixSmartcardLogon. Il modello AppterixSmartcardLogon viene creato e configurato nel contenitore Active Directory CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration…
L'elenco di controllo degli accessi (ACL) del nuovo modello Appterix Smartcard Logon, nonché il modello predefinito Enrollment Agent, vengono modificati in modo che l'utente memorizzato nel pannello di controllo AD Sync possa leggerli e registrarli. 
certutil viene utilizzato per attivare il nuovo modello di accesso Appterix SmartCard e il modello di agente di iscrizione sull'autorità di certificazione (CA).
Se la pubblicazione di entrambi i modelli fallisce, lo script tenta di riavviare in remoto il servizio CertSvc (Autorità di certificazione) sul server CA.

Autorizzazioni temporanee richieste durante l'inizializzazione della connessione AD CS: 
L'utente che esegue il pannello di controllo di sincronizzazione AD necessita di autorizzazioni di scrittura nel percorso CN=Configuration,DC=…. Si tratta in genere di diritti del gruppo Enterprise Admins o Domain Admins del dominio radice della foresta, nonché del diritto di modificare le autorizzazioni (scheda sicurezza) sugli oggetti nel contenitore "Servizi chiave pubblica".
Per aggiungere modelli utilizzando `certutil -setcatemplates`, l'utente deve essere un "Amministratore dell'Autorità di Certificazione" sulla CA. Per riavviare il servizio CertSvc, se necessario (Restart-Service), sono richiesti i diritti di amministratore locale sul server della CA (oltre all'abilitazione di PowerShell Remoting/WMI). 

Autorizzazioni di rete e protocollo temporaneamente richieste:
Per l'inizializzazione della connessione AD CS è necessario l'accesso al controller di dominio tramite la porta 389 o 636, nonché RPC/DCOM per la comunicazione con l'autorità di certificazione tramite certutil.

Rapporto sulla salute

È possibile generare il Report sullo stato di salute come file JSON cliccando su "Genera Report sullo stato di salute" nella posizione desiderata. Questo report mostra la configurazione del servizio di sincronizzazione AD e la connessione all'Autorità di certificazione AD (AD CS). È utile per la risoluzione dei problemi in caso di errori nelle connessioni ad AD o AD CS. 

Sommario

Per configurare una volta la connessione AD CS, è necessario il pannello di controllo AD Sync, installato con il servizio AD Sync. 

Aprire il pannello di controllo di AD Sync in una sessione Windows di un amministratore aziendale.

Specificare un utente con appartenenza al dominio e al gruppo AD Certificate Publisher, nonché l'autorizzazione ad accedere localmente al server del servizio di sincronizzazione AD, che è stato specificato anche nell'interfaccia Web della piattaforma EgoMind per la sincronizzazione AD.

Inserisci il nome \ l'autorità di certificazione AD e fare clic su Applica.

Se la connessione ad AD CS non dovesse funzionare, sarà utile generare il rapporto sullo stato tramite il pannello di controllo di sincronizzazione AD.

Note:

Ogni clic sul pulsante Genera nella sezione delle informazioni di accesso dell'interfaccia web della piattaforma EgoMind crea nuove credenziali di accesso che devono essere inserite nel pannello di controllo del servizio AD Sync.

Per l'inizializzazione una tantum della connessione AD CS, è necessario solo temporaneamente accedere al server con un account Enterprise Administrator.

In alcuni casi, l'accesso con il nome netBIOS (dominio/utente) causa errori durante l'esecuzione della connessione AD CS. In questi casi, è possibile immettere l'UPN dell'utente (utente@dominio.estensione) nel campo Nome utente e lasciare vuoto il campo Nome dominio.

Se è in uso uno scanner antivirus o un software simile, verificare se blocca la creazione e l'utilizzo dello script PowerShell per inizializzare la connessione AD CS.

Il rapporto sullo stato è utile per verificare le fonti di errore se si verificano errori nelle connessioni ad AD o AD CS.