Como testar a autenticação do servidor de diretório para uma conta de administrador

Você pode verificar se um servidor Active Directory ou LDAP autentica o nome de usuário e a senha para uma conta de administrador que criar. A verificação avalia se você adicionou o nome de usuário e a senha corretamente, bem como se o nome de conta existe no servidor de diretório.
Use o mesmos nome de usuário e senha para uma conta de administrador no
Symantec Endpoint Protection Manager
como você faz no servidor de diretório. Quando o administrador fizer logon no servidor de gerenciamento, o servidor de diretório autenticará o nome de usuário e a senha do administrador. O servidor de gerenciamento usa a configuração de servidor de diretório que você adicionou para pesquisar a conta no servidor do diretório.
Você também pode verificar se um servidor do Active Directory ou do LDAP autentica uma conta de administrador sem nome de usuário e senha. Uma conta sem nome de usuário ou senha é acesso anônimo. Você deve criar uma conta de administrador com acesso anônimo de modo que os administradores nunca estejam bloqueados se a senha for mudada no servidor de diretório.
No servidor do Active Directory do Windows 2003, a autenticação anônima é desativada por padrão. Portanto, quando você adicionar um servidor de diretório sem nome de usuário a uma conta de administrador e clicar em
Verificar conta
, uma mensagem de erro
Falha na autenticação da conta
será exibida. Para contornar este problema, crie duas entradas de servidor de diretório, uma para teste e uma para acesso anônimo. O administrador ainda pode fazer logon no servidor de gerenciamento usando um nome de usuário e uma senha válidos.
Etapa 1: Adicionar várias conexões do servidor de diretório
Para facilitar o teste para acesso anônimo, adicione pelo menos duas entradas do servidor de diretório. Use uma entrada para testar a autenticação e a segunda entrada para testar o acesso anônimo. Estas entradas usam o mesmo servidor de diretório com configurações diferentes.
Por padrão, a maioria dos usuários reside em CN=Users a menos que movidos para unidades organizacionais diferentes. Usuários no servidor de diretório LDAP são criados em CN=Users, DC=<
domínio_de_amostra
>, DC=local. Para encontrar onde um usuário reside no LDAP, use ADSIEdit.
Use as seguintes informações para configurar os servidores do diretório para este exemplo:
  • CN=John Smith
  • OU=test
  • DC=<
    domínio_de_amostra
    >
  • DC=local
O exemplo usa Active Directory padrão LDAP (389) mas pode também usar LDAP seguro (636).
Como adicionar várias conexões de servidor de diretório
  1. Para adicionar as conexões do servidor de diretório para verificar a autenticação de servidor do Active Directory e do LDAP, no console, clique em
    Admin
    >
    Servidores
    , selecione o servidor padrão e clique em
    Editar as propriedades do servidor
    .
  2. Na guia
    Servidores de diretórios
    , clique em
    Adicionar
    .
  3. Na guia
    Geral
    , adicione as seguintes configurações do servidor de diretório e clique em
    OK
    .
    Diretório 1
    • Nome:
      <
      domínio_de_amostra
      > Active Directory
    • Tipo de servidor:
      Active Directory
    • Nome ou endereço IP do servidor:
      server01.<
      domínio_de_amostra
      >.local
    • Nome do usuário:
      <
      domínio_de_amostra
      >\administrador
    • Senha:
      <
      senha do servidor de diretório
      >
    Diretório 2
    • Nome:
      <
      domínio_de_amostra
      > LDAP com Nome de usuário
    • Tipo de servidor:
      LDAP
    • Nome ou endereço IP do servidor:
      server01.<
      domínio_de_amostra
      >.local
    • Porta LDAP:
      389
    • BaseDN do LDAP:
      DC=<
      domínio_de_amostra
      >, DC=local
    • Nome do usuário:
      <
      domínio_de_amostra
      >\administrador
    • Senha:
      <
      senha do servidor de diretório
      >
    Diretório 3
    • Nome:
      <
      domínio_de_amostra
      > LDAP sem Nome de usuário
    • Tipo de servidor:
      LDAP
    • Nome ou endereço IP do servidor:
      server01.<
      domínio_de_amostra
      >.local
    • Porta LDAP:
      389
    • BaseDN do LDAP:
      <vazio>
      Deixe este campo vazio quando usar o acesso anônimo.
    • Nome de usuário:
      <vazio>
    • Senha:
      <vazio>
      Após clicar em
      OK
      , um aviso aparecerá. Mas o servidor de diretório será válido.
      Quando você tentar adicionar um BaseDN sem nome de usuário e senha, o aviso aparecerá.
Etapa 2: Adicionar várias contas de administrador
Adicione várias contas de administrador do sistema. A conta para acesso anônimo não tem nome de usuário ou senha.
Como adicionar várias contas de administrador
  1. Para adicionar as contas de administrador usando as entradas do servidor de diretório, no console, clique em
    Admin
    >
    Administradores
    e, na guia
    Geral
    , adicione as contas de administrador da etapa anterior. Consulte:
  2. Após adicionar cada conta de administrador e clicar na opção
    Verificar conta
    , você verá uma mensagem. Em alguns casos, a mensagem parecerá invalidar a informação de conta. Contudo, o administrador ainda pode fazer logon no
    Symantec Endpoint Protection Manager
    .
  3. Na guia
    Geral
    , digite as seguintes informações:
    Administrador 1
    • Nome:
      <
      domínio_de_amostra
      > LDAP sem Nome de usuário
    • Tipo de servidor:
      LDAP
    • Nome ou endereço IP do servidor:
      server01.<
      domínio_de_amostra
      >.local
    • Porta LDAP:
      389
    • BaseDN do LDAP:
      <vazio>
      Deixe este campo vazio quando usar o acesso anônimo.
    • Nome de usuário:
      <vazio>
    • Senha:
      <vazio>
      Após clicar em
      OK
      , um aviso aparecerá. Mas o servidor de diretório será válido.
      Quando você tentar adicionar um BaseDN sem nome de usuário e senha, o aviso aparecerá.
    Administrador 2
    • Nome do usuário:
      john
    • Nome completo:
      John Smith
    • Endereço de email:
      [email protected]<
      domínio_de_amostra
      >.local
    • Na guia
      Direitos de acesso
      , clique em
      Administrador do sistema
      .
    • Na guia
      Autenticação
      , clique em
      Autenticação de diretório
      .
      Na lista suspensa
      Servidor de diretório
      , selecione <
      domínio_de_amostra
      > LDAP com Nome de usuário.
      No campo
      Nome da conta
      , digite
      john
      .
      Clique em
      Verificar a conta
      .
      O administrador do sistema
      john
      não poderá efetuar logon no
      Symantec Endpoint Protection Manager
      com autenticação do diretório
    Administrador 3
    • Nome do usuário:
      john
    • Nome completo:
      John Smith
    • Endereço de email:
      [email protected]<
      domínio_de_amostra
      >.local
    • Na guia
      Direitos de acesso
      , clique em
      Administrador do sistema
      .
    • Na guia
      Autenticação
      , clique em
      Autenticação de diretório
      .
      Na lista suspensa
      Servidor de diretório
      , selecione <
      domínio_de_amostra
      > LDAP com Nome de usuário.
      No campo
      Nome da conta
      , digite
      John Smith
      .
      Clique em
      Verificar a conta
      .
      O administrador de sistema
      john
      pode efetuar logon no
      Symantec Endpoint Protection Manager
      com a autenticação de diretório.
    Administrador 4
    • Nome do usuário:
      john
    • Nome completo:
      John Smith
    • Endereço de email:
      [email protected]<
      domínio_de_amostra
      >.local
    • Na guia
      Direitos de acesso
      , clique em
      Administrador do sistema
      .
    • Na guia
      Autenticação
      , clique em
      Autenticação de diretório
      .
      Na lista suspensa
      Servidor de diretório
      , selecione <
      domínio_de_amostra
      > LDAP sem Nome de usuário.
      No campo
      Nome da conta
      , digite
      John Smith
      .
      Clique em
      Verificar a conta
      .
      A autenticação da conta falhará, mas o administrador do sistema
      John Smith
      poderá fazer logon no
      Symantec Endpoint Protection Manager
      .
Mais informações