Verifica dell'autenticazione del server di directory di un account di amministratore

È possibile verificare se un server Active Directory o LDAP autentica il nome utente e la password di un account amministratore creato. Il controllo valuta se sono stati aggiunti correttamente il nome utente e la password e se il nome dell’account esiste o meno sul server di directory.
Per un account di amministratore di
Symantec Endpoint Protection Manager
, utilizzare lo stesso nome utente e la stessa password del server di directory. Quando l'amministratore accede al server di gestione, il server di directory autentica il nome utente e la password dell'amministratore. Il server di gestione utilizza la configurazione del server di directory aggiunta per individuare l'account sul server di directory.
È inoltre possibile verificare se un server Active Directory o LDAP autentica un account di amministratore senza nome utente e password. Un account senza nome utente o password viene considerato un accesso anonimo. È necessario creare un account di amministratore con accesso anonimo in modo da non bloccare mai gli amministratori se la password del server di directory viene modificata.
Nel server Windows 2003 Active Directory, l'autenticazione anonima è disattivata per impostazione predefinita. Pertanto, quando si aggiunge un server di directory senza nome utente a un account di amministratore e si fa clic su
Verifica account
, viene visualizzato il messaggio di errore
Autenticazione account non riuscita
. Per risolvere questo problema, creare due voci del server di directory, una per le verifiche e un'altra per l'accesso anonimo. L'amministratore può comunque accedere al server di gestione utilizzando un nome utente e una password validi.
Passaggio 1: Aggiunta di più connessioni del server di directory
Per facilitare le verifiche relative a un accesso anonimo, aggiungere almeno due voci del server di directory. Utilizzare una voce per verificare l'autenticazione e una voce per verificare l'accesso anonimo. Queste voci utilizzano tutte lo stesso server di directory con diverse configurazioni.
Per impostazione predefinita, la maggior parte degli utenti risiedono in CN=Users, a meno che non vengano spostati in diverse unità organizzative. Gli utenti nel server di directory LDAP sono creati in CN=Users, DC=<
dominio_esempio
>, DC=local. Per verificare dove risiede un utente in LDAP, utilizzare ADSIEdit.
Utilizzare le seguenti informazioni per configurare i server di directory per questo esempio:
  • CN=Mario Rossi
  • OU=verifica
  • DC=<
    dominio_esempio
    >
  • DC=locale
Nell'esempio viene utilizzato il protocollo LDAP Active Directory predefinito (389), ma è anche possibile utilizzare il protocollo LDAP protetto (636).
  1. Per aggiungere le connessioni al server di directory per verificare l'autenticazione di Active Directory e del server LDAP, nella console fare clic su
    Amministrazione
    >
    Server
    , selezionare il server predefinito e fare clic su
    Modifica proprietà server
    .
  2. Nella scheda
    Server di directory
    , fare clic su
    Aggiungi
    .
  3. Nella scheda
    Generale
    , aggiungere le seguenti configurazioni del server di directory, quindi fare clic su
    OK
    .
    Directory 1
    • Nome:
      <
      dominio_esempio
      > Active Directory
    • Tipo di server
      :
      Active Directory
    • Indirizzo IP o nome server
      : server01.<
      dominio_esempio
      >.local
    • Nome utente
      : <
      dominio_esempio
      >\administrator
    • Password:
      <
      password del server di directory
      >
    Directory 2
    • Nome:
      <
      dominio_esempio
      > LDAP con Nome utente
    • Tipo di server
      :
      LDAP
    • Indirizzo IP o nome server
      : server01.<
      dominio_esempio
      >.local
    • Porta LDAP
      :
      389
    • DN di base LDAP
      : DC=<
      dominio_esempio
      >, DC=local
    • Nome utente
      : <
      dominio_esempio
      >\administrator
    • Password:
      <
      password del server di directory
      >
    Directory 3
    • Nome:
      <
      dominio_esempio
      > LDAP senza Nome utente
    • Tipo di server
      :
      LDAP
    • Indirizzo IP o nome server
      : server01.<
      dominio_esempio
      >.local
    • Porta LDAP
      :
      389
    • DN di base LDAP
      : <vuoto>
      Lasciare questo campo vuoto quando si utilizza l'accesso anonimo.
    • Nome utente
      : <vuoto>
    • Password
      : <vuoto>
      Dopo aver fatto clic su
      OK
      , viene visualizzato un avviso. Il server di directory, tuttavia, è valido.
      Quando si tenta di aggiungere un DN di base senza nome utente e password, viene visualizzato l'avviso.
Passaggio 2: Aggiunta di più account di amministratore
Vengono aggiunti più account di amministratore di sistema. L'account di accesso anonimo non prevede un nome utente e una password.
  1. Per aggiungere gli account di amministratore utilizzando le voci del server di directory, nella console fare clic su
    Amministrazione
    >
    Amministratori
    e nella scheda
    Generale
    aggiungere gli account amministratore riportati nel passaggio precedente.
  2. Dopo aver aggiunto ciascun account di amministratore e aver fatto clic sull'opzione
    Verifica account,
    viene visualizzato un messaggio. In alcuni casi, il messaggio sembra invalidare le informazioni dell'account. L'amministratore può comunque ancora accedere a
    Symantec Endpoint Protection Manager
    .
  3. Nella scheda
    Generale
    immettere le seguenti informazioni:
    Amministratore 1
    • Nome:
      <
      dominio_esempio
      > LDAP senza Nome utente
    • Tipo di server
      :
      LDAP
    • Indirizzo IP o nome server
      : server01.<
      dominio_esempio
      >.local
    • Porta LDAP
      :
      389
    • DN di base LDAP
      : <vuoto>
      Lasciare questo campo vuoto quando si utilizza l'accesso anonimo.
    • Nome utente
      : <vuoto>
    • Password
      : <vuoto>
      Dopo aver fatto clic su
      OK
      , viene visualizzato un avviso. Il server di directory, tuttavia, è valido.
      Quando si tenta di aggiungere un DN di base senza nome utente e password, viene visualizzato l'avviso.
    Amministratore 2
    • Nome utente:
      mario
    • Nome completo:
      Mario Rossi
    • Indirizzo e-mail
      : [email protected]<
      dominio_esempio
      >.local
    • Nella scheda
      Diritti di accesso
      , fare clic su
      Amministratore di sistema
      .
    • Nella scheda
      Autenticazione
      , fare clic su
      Autenticazione directory
      .
      Nell'elenco a discesa
      Server di directory
      , selezionare <
      dominio_esempio
      > LDAP con Nome utente.
      Nel campo
      Nome account
      , immettere
      mario
      .
      Fare clic su
      Verifica account
      .
      L'amministratore di sistema
      mario
      non può accedere a
      Symantec Endpoint Protection Manager
      con l'autenticazione della directory.
    Amministratore 3
    • Nome utente:
      mario
    • Nome completo:
      Mario Rossi
    • Indirizzo e-mail
      : [email protected]<
      dominio_esempio
      >.local
    • Nella scheda
      Diritti di accesso
      , fare clic su
      Amministratore di sistema
      .
    • Nella scheda
      Autenticazione
      , fare clic su
      Autenticazione directory
      .
      Nell'elenco a discesa
      Server di directory
      , selezionare <
      dominio_esempio
      > LDAP con Nome utente.
      Nel campo
      Nome account
      , immettere
      Mario Rossi
      .
      Fare clic su
      Verifica account
      .
      L'amministratore di sistema
      mario
      può accedere a
      Symantec Endpoint Protection Manager
      con l'autenticazione della directory.
    Amministratore 4
    • Nome utente:
      mario
    • Nome completo:
      Mario Rossi
    • Indirizzo e-mail
      : [email protected]<
      dominio_esempio
      >.local
    • Nella scheda
      Diritti di accesso
      , fare clic su
      Amministratore di sistema
      .
    • Nella scheda
      Autenticazione
      , fare clic su
      Autenticazione directory
      .
      Nell'elenco a discesa
      Server di directory
      , selezionare <
      dominio_esempio
      > LDAP senza Nome utente.
      Nel campo
      Nome account
      , immettere
      Mario Rossi
      .
      Fare clic su
      Verifica account
      .
      L'autenticazione dell'account non riesce, ma l'amministratore di sistema
      Mario Rossi
      può accedere a
      Symantec Endpoint Protection Manager
      .