Integración de Active Directory

Compartir

¿Este artículo es útil?

Última actualización:

Guía de configuración avanzada de la integración de Active Directory (ADI)

Después de la configuración inicial de Active Directory (AD), puede personalizar la sincronización con más opciones para satisfacer las necesidades de su organización. Para obtener más información, consulte las siguientes secciones. Para obtener información sobre el proceso básico de instalación y configuración de la integración de Active Directory (ADI), consulte nuestra Guía de configuración de Integración de Active Directory (ADI).

Cómo crear una cuenta de servicio de ADI en Active Directory

Para configurar ADI, debe utilizar o crear una cuenta en AD que tenga los siguientes permisos:

  • leer toda la información del usuario
  • leer toda la información de inetOrgPerson

Para crear un usuario de AD con los permisos de lectura necesarios, siga los pasos que se indican a continuación:

  1. Abra Usuarios y equipos de Active Directory.

  2. Haga clic con el botón derecho en su dominio y seleccione Delegar control. Cuando seleccione Delegar control, se abrirá el cuadro de diálogo Delegación de control.

  3. En el cuadro de diálogo Delegación de control, añada su cuenta de servicio de ADI creada anteriormente.

  4. Delegue la tarea Leer toda la información del usuario y la tarea Leer toda la información de inetOrgPerson.

  5. Por último, deberá volver a configurar su Servicio de Sincronización de ADI de KnowBe4 para utilizar su nueva cuenta de servicio de AD con ADI.

Para cambiar el usuario especificado, siga los pasos a continuación:

  1. Vaya a la carpeta C:\ProgramData\KnowBe4\ADI Sync\Config\ y elimine el archivo <domain>.dat.
  2. Abra el símbolo del sistema como administrador y vaya a la carpeta C:\Program Files\KnowBe4\ADI Sync\. Luego, escriba “adisync.exe config”.

Cómo cambiar el lugar de donde se extraen las direcciones de correo electrónico en Active Directory

De manera predeterminada, la sincronización de ADI sincronizará todas las direcciones de correo electrónico del proxy de sus usuarios. Sin embargo, puede cambiar el lugar de donde desea que se extraigan las direcciones de correo electrónico en Active Directory. Además, puede optar por sincronizar solo las direcciones de correo electrónico del proxy principal de los usuarios. Abra el archivo adisync.conf en la carpeta C:\ProgramData\KnowBe4\ADI Sync\Config. De manera predeterminada, verá los siguientes campos:

  • emailAttribute = "proxyAddresses"
  • primaryProxyOnly = false
Nota: Si no ve estos campos, compruebe que esté editando el archivo adisync.conf y no el archivo <domain>.conf. Si no puede ver el campo emailAttribute en su archivo adisync.conf, es posible que esté usando una versión anterior de ADI. Si debe realizar cambios en el campo emailAttribute, actualice a la última versión de ADI.

Para obtener más información sobre cómo cambiar las direcciones de correo electrónico que se sincronizan para sus usuarios, consulte la siguiente lista:

Nota: Los siguientes campos distinguen entre mayúsculas y minúsculas.
  • Solo la dirección del proxy principal: si desea utilizar solo la dirección del proxy principal para cada usuario, cambie el campo primaryProxyOnly de “false” (falso) a “true” (verdadero). Guarde el archivo adisync.conf y vuelva a iniciar el servicio de ADI. Este proceso garantizará que no se sincronice ninguna dirección de correo electrónico con alias.

  • Atributo de correo: si desea que se utilice el atributo Mail en lugar de proxyAddresses en la sincronización, cambie el campo emailAttribute de “proxyAddresses” a “mail”. Guarde el archivo adisync.conf y vuelva a iniciar el Servicio de sincronización de ADI de KnowBe4.

    Importante: Independientemente de qué campo esté usando para la sincronización, el atributo de correo de un usuario no puede quedar vacío. Para los fines de ADI, este valor no necesariamente tiene que ser un dominio válido. Para obtener más información, comuníquese con nuestro equipo de soporte.
  • Nombre principal del usuario: si quiere que en la sincronización se use el nombre principal del usuario (UPN, por sus siglas en inglés) en lugar de las direcciones del proxy, cambie el campo emailAttribute de “proxyAddresses” a “userPrincipalName”. Guarde el archivo adisync.conf y vuelva a iniciar el Servicio de sincronización de ADI de KnowBe4.

Cómo ver los campos Mail y Proxy Addresses en Active Directory

Siga los pasos que se indican a continuación para ver la dirección de correo y proxy de un usuario en Active Directory. También puede utilizar estos pasos para ver el PrincipalName de un usuario.

  1. En la ventana Usuarios y equipos de Active Directory, haga clic en Ver en la barra de herramientas.

  2. En el menú desplegable Ver, seleccione Funciones avanzadas.

  3. Haga doble clic en un usuario para abrir el elemento emergente Propiedades del usuario.
  4. En el elemento emergente Propiedades del usuario, seleccione la pestaña Editor de atributos.

  5. Para ver la dirección de correo del usuario, busque el correo en la columna Atributo. Seleccione correo y haga clic en el botón Editar.

  6. Al hacer clic en Editar, se abrirá la ventana emergente Editor de atributos de cadena. Desde esta ventana emergente, puede ajustar el Valor del atributo de correo.

  7. Para ver la dirección de proxy del usuario, busque proxyAddresses en la columna Atributo. Seleccione proxyAddresses y luego haga clic en el botón Editar.

  8. Al hacer clic en el botón Editar, se abrirá la ventana emergente Editor de cadenas multivalor. Aquí puede añadir o eliminar un Valor al atributo proxyAddresses.

Soporte para múltiples fuentes de dominio

Si sus usuarios están divididos entre varias fuentes de dominio, deberá establecer una configuración para cada dominio con objetos de usuario que deban sincronizarse.

Para cada dominio adicional, deberá ejecutar la configuración adisync.exe en el directorio de instalación de sincronización de ADI. Si ejecuta la configuración de sincronización de ADI por segunda vez, se crearán los archivos <domain>.conf adicionales que deben editarse para especificar los criterios de filtro para su sincronización.

Nota: Para habilitar el soporte para múltiples fuentes de dominio, asegúrese de haber instalado la herramienta de sincronización ADI una vez. No se necesita volver a instalar la herramienta de sincronización ADI, ya que una segunda instalación puede archivar a sus usuarios.

Con el fin de ejecutar la configuración de sincronización de ADI para el soporte para múltiples fuentes de dominio, siga los pasos que se indican a continuación:

  1. Abra el símbolo del sistema en modo de administrador.
  2. Vaya al directorio del sistema de sincronización de ADI. La ubicación predeterminada del directorio del sistema es C:\Program Files\KnowBe4\ADI Sync.

  3. Escriba la línea siguiente y pulse la tecla Intro:

    adisync.exe config
  4. Ingrese los detalles de su controlador de dominio adicional y su dominio. Para obtener más información, consulte el paso 7 de la sección Instalación y configuración de nuestra Guía de configuración de Integración de Active Directory (ADI).
  5. Cuando haya creado el archivo adicional <domain>.conf en C:\ProgramData\KnowBe4\ADI Sync\Config, edite el archivo para especificar la información que desea sincronizar. Para obtener más información, consulte nuestra Guía de configuración de Integración de Active Directory (ADI).
  6. Guarde el archivo <domain>.conf.
  7. Después de repetir este proceso para todos sus dominios adicionales, puede comenzar la sincronización.
Nota: El sistema en el que instale la herramienta de sincronización de ADI debe poder conectarse con todos los controladores de dominio.

Cómo instalar la versión más reciente de ADI

Siga los pasos que se indican a continuación para instalar la versión más reciente de ADI sin desinstalar su versión anterior:

  1. Descargue el nuevo instalador desde Configuración de la cuenta de KSAT.
  2. Ejecute la instalación.

  3. Si se le solicita, haga clic en para utilizar los datos de la instalación anterior.

    El Servicio de sincronización de ADI de KnowBe4 se iniciará automáticamente al finalizar la instalación. Puede comprobar que el servicio esté funcionando correctamente en el menú de servicios de Windows.

Sus usuarios deberían continuar sincronizándose según lo previsto.

Cómo sincronizar campos personalizados

Los perfiles de usuario de su consola de KnowBe4 incluyen campos personalizados que puede usar para sincronizar información adicional de Active Directory. Para especificar la información que quiere sincronizar con los campos personalizados, edite el archivo <domain>.conf y, luego, vuelva a iniciar el servicio para que se sincronicen sus cambios. Para obtener más información, consulte Cómo sincronizar otra información del usuario con KnowBe4.

Nota: Los campos de sincronización personalizados están disponibles con ADI 1.0.16.5 y versiones posteriores. Si no puede ver los campos personalizados en su archivo <domain>.conf, deberá instalar la versión más reciente de ADI. Su archivo o archivos <domain>.conf existentes se actualizarán para incluir los campos de sincronización personalizados. Si decide usar estos campos personalizados nuevos, deberá volver a iniciar el Servicio de sincronización de ADI de KnowBe4 para que se sincronicen los cambios.

Cómo habilitar los campos de SecurityCoach

Si ya ha configurado ADI y su suscripción incluye SecurityCoach, puede habilitar los campos de SecurityCoach instalando la versión más reciente de ADI. Si ya está utilizando la última versión y no tiene habilitados los campos de SecurityCoach, deberá reconfigurar ADI para habilitarlos.

Nota: Si va a instalar la última versión de ADI, asegúrese de establecer Habilitar campos de SecurityCoach en true. Para obtener más información, consulte la sección Instalación y configuración de nuestra Guía de configuración de Integración de Active Directory (ADI).

Para volver a configurar ADI y habilitar los campos de SecurityCoach, siga los pasos que se indican a continuación:

  1. Detenga el Servicio de sincronización de ADI de KnowBe4 en el menú de servicios de Windows.
  2. Vaya al directorio del sistema \ADIsync. La ubicación predeterminada del directorio del sistema es C:\ProgramData\KnowBe4\ADI Sync\Config\.
  3. Cambie el nombre de su archivo <domain>.conf a “<domain>-OLD.conf”.
  4. Mueva el archivo<domain>-OLD.conf a un directorio diferente.
  5. Vaya al directorio de instalación C:\Program Files\KnowBe4\ADI Sync\ y abra un símbolo del sistema con privilegios elevados.
  6. En el símbolo del sistema, ejecute adisync.exe config.
  7. Vuelva a configurar ADI introduciendo la misma información que introdujo anteriormente, pero establezca Habilitar campos de SecurityCoach en true. Después de volver a configurar ADI, un nuevo archivo <domain>.conf aparecerá en el directorio \Config.
  8. Abra el archivo <domain>-OLD.conf y el nuevo archivo <domain>.conf.
  9. Copie los datos de la sección [sync.users] del archivo <domain>-OLD.conf. Pegue estos datos en el nuevo archivo <domain>.conf.
  10. Copie los datos de la sección [sync.groups] del archivo <domain>-OLD.conf. Pegue estos datos en el nuevo archivo <domain>.conf.
  11. (Opcional) Si personalizó la sección [sync.fields] del archivo <domain>-OLD.conf, puede realizar las mismas personalizaciones en el nuevo archivo <domain>.conf.
  12. Inicie el Servicio de sincronización de ADI de KnowBe4.

¿Este artículo fue útil?

Usuarios a los que les pareció útil: 6 de 9

¿No encuentra lo que busca?

Contacte a soporte