Paramétrer un accès sur l'Active Directory
L’annuaire Active Directory doit autoriser un compte permettant à SN SSO Agent d’avoir accès à l’observateur d’événements de l’annuaire et avoir le droit d’ouvrir une session en tant que service. Le paramétrage de ce compte doit précéder l’installation de SN SSO Agent.
Pour cela, vous pouvez soit créer un « compte privilégié » dédié à SN SSO Agent, soit donner les droits à un utilisateur existant. Il est cependant déconseillé d’utiliser le compte Administrateur du domaine Active Directory afin d’éviter de potentiels problèmes de sécurité.
NOTE
Si plusieurs contrôleurs de domaine régissent le même domaine, il est impératif que le compte utilisé par SN SSO Agent soit un compte dédié appartenant au domaine. Les droits décrits ci-après doivent s’appliquer sur tous les contrôleurs de domaine afin de relayer l’ensemble des événements survenus sur le domaine (les traces générées rapportent l’accès refusé à la lecture des événements).
Si vous souhaitez utiliser la méthode de détection des déconnexions par Base de registre, ce compte doit appartenir au groupe Administrateur du serveur Active Directory ou être défini en tant qu’administrateur local sur les machines supervisées.
D’autre part, cette méthode requiert la configuration de la zone inverse du domaine sur le serveur DNS afin de détecter les changements d’adresse IP, par exemple en cas de renouvellement d’adresse DHCP. Consultez la section Changement d’adresse IP des Cas spécifiques pour plus d'informations.
Installation de l'agent SSO sur un poste de travail membre du domaine
Pour faire fonctionner l'agent SSO sur un poste membre du domaine AD, il est nécessaire d'activer 3 règles dans le Pare-feu de ce poste :
- Gestion à distance des journaux des événements (NP-Entrée),
- Gestion à distance des journaux des événements (RPC),
- Gestion à distance des journaux des événements (RPC-EMAP),
Cette manipulation est décrite dans la partie Installer SN SSO Agent.