Implantação do Lumiun Agent para Integração com Active Directory

Publicado em por

A integração do Lumiun com Active Directory permite a identificação dos usuários de internet, para regras de acesso e relatórios do Lumiun, em formato “single sign-on”, sem que os usuários precisem digitar novamente a senha para acesso à internet.

A implantação do Lumiun Agent na infraestrutura de domínio ocorre através da configuração de uma Group Policy. Essa Policy irá executar o agente nas operações de Logon e Logoff dos usuários, bem como Startup e Shutdown dos computadores. O Lumiun Agent é executado instantaneamente em cada evento, e não ficará rodando em background ou como um serviço no computador.

Fluxo geral de funcionamento da integração do Lumiun com Active Directory

  • Administrador da rede configura no AD uma Group Policy contendo um agente do Lumiun. Essa Policy será executada no Logon do usuário, Logoff do usuário, Startup do computador e Shutdown do computador.
  • Quando um usuário efetuar Logon, será executado o agente que informará à API do Lumiun dados como o endereço IP e nome do computador, login e nome do usuário, e grupos ao qual o usuário pertence.
  • No momento do Logon, caso o usuário seja membro no AD de um grupo existente no painel do Lumiun (grupo com mesmo nome), o Lumiun irá posicionar o usuário no respectivo grupo. Caso exista mais de um grupo nessa condição, o usuário será posicionado no primeiro grupo em ordem alfabética. Se não existir um grupo equivalente, o usuário será posicionado, no painel do Lumiun, em um grupo padrão.
  • Além do Logon, o utilitário também informará à API do Lumiun os eventos de Logoff, Startup e Shutdown. Essas informações poderão ser visualizadas no painel do Lumiun. Todos esses eventos acionarão na API também o logoff de um eventual usuário anterior que, por algum motivo, não teve logoff registrado no momento correto.
  • O painel do Lumiun não necessitará de acesso especial via LDAP ao Active Directory para fazer a autenticação. A identificação do usuário terá funcionalidade semelhante a “single sign-on”, pois após o logon no computador não será exigida nova autenticação para uso da internet.
  • Essa identificação de usuários funciona apenas para computadores Windows membros do domínio. Não funciona para smartphones.
  • O agente gera um arquivo de log na pasta %TEMP% denominado LumiunAgent_log.txt, útil para diagnóstico em caso de problemas.

Requisitos para realizar a implantação do Lumiun Agent para Integração com Active Directory

  • Acesso ao Active Directory com permissão suficiente para criar uma nova GPO.
  • O utilitário LumiunAgent.exe (download do Lumiun Agent atualizado).
  • Token da rede, obtido no painel do Lumiun em Administrar > Redes > Visualizar token.
  • Configurar no painel do Lumiun o Encaminhamento DNS com o seu domínio local e o IP do respectivo servidor DNS interno.
  • Configurar o grupo onde estão os computadores, no painel do Lumiun, com autenticação Active Directory. Para essa configuração, acessar Administrar > Grupos > Editar o grupo desejado > Autenticação > Transparente via integração com Active Directory.
  • Em caso de qualquer dúvida, entre em contato conosco e iremos lhe auxiliar.

Procedimento para a criação da Group Policy que acionará o agente do Lumiun

  1. No servidor Active Directory, abrir Administrative Tools > Group Policy Management.
  2. Clicar com o botão direito no domínio e selecionar “Create a GPO in this domain, and Link it here”.
  3. Definir o nome que preferir para a nova GPO e clicar em OK.
  4. Na nova GPO que foi criada, clicar com o botão direito e selecionar Edit.
  5. Abrir Computer Configuration > Policies > Administrative Templates > System > Group Policy. Localizar e abrir o item “Configure Logon Script Delay”. Selecionar a opção Enabled, preencher o campo “minute:” com 0 (zero) e salvar clicando em OK.

Configuração da GPO para evento Startup

  1. Na GPO, abrir Computer Configuration > Policies > Windows Settings > Scripts (Startup/Shutdown) > Startup.
  2. Clicar no botão “Show Files”. Na pasta que abre, colar dentro dessa pasta uma cópia do arquivo LumiunAgent.exe e fechar a pasta.
  3. Clicar em Add.
  4. Preencher o campo “Script Name” com LumiunAgent.exe
  5. Em “Script Parameters”, digitar “startup <token>”, sendo <token> substituído pelo token desta rede obtido no painel do Lumiun. Exemplo: startup 7JW5XXEHV2AEGYD8S8UER951ZICMP2G3
  6. Clicar em OK e OK.

    Group Policy Management Editor editando política de grupo para Lumiun Agent

Configuração da GPO para evento Shutdown

  1. Na GPO, abrir Computer Configuration > Policies > Windows Settings > Scripts (Startup/Shutdown) > Shutdown.
  2. Clicar no botão “Show Files”. Na pasta que abre, colar dentro dessa pasta uma cópia do arquivo LumiunAgent.exe e fechar a pasta.
  3. Clicar em Add.
  4. Preencher o campo “Script Name” com LumiunAgent.exe
  5. Em “Script Parameters”, digitar “shutdown <token>”, sendo <token> substituído pelo token desta rede obtido no painel do Lumiun. Exemplo: shutdown 7JW5XXEHV2AEGYD8S8UER951ZICMP2G3
  6. Clicar em OK e OK.

Configuração da GPO para evento Logon

  1. Na GPO, abrir User Configuration > Policies > Windows Settings > Scripts (Logon/Logoff) > Logon.
  2. Clicar no botão “Show Files”. Na pasta que abre, colar dentro dessa pasta uma cópia do arquivo LumiunAgent.exe e fechar a pasta.
  3. Clicar em Add.
  4. Preencher o campo “Script Name” com LumiunAgent.exe
  5. Em “Script Parameters”, digitar “logon <token>”, sendo <token> substituído pelo token desta rede obtido no painel do Lumiun. Exemplo: logon 7JW5XXEHV2AEGYD8S8UER951ZICMP2G3
  6. Clicar em OK e OK.

Configuração da GPO para evento Logoff

  1. Na GPO, abrir User Configuration > Policies > Windows Settings > Scripts (Logon/Logoff) > Logoff.
  2. Clicar no botão “Show Files”. Na pasta que abre, colar dentro dessa pasta uma cópia do arquivo LumiunAgent.exe e fechar a pasta.
  3. Clicar em Add.
  4. Preencher o campo “Script Name” com LumiunAgent.exe
  5. Em “Script Parameters”, digitar “logoff <token>”, sendo <token> substituído pelo token desta rede obtido no painel do Lumiun. Exemplo: logoff 7JW5XXEHV2AEGYD8S8UER951ZICMP2G3
  6. Clicar em OK e OK.

Testar o funcionamento da integração

  1. Aguardar a aplicação da nova Policy aos computadores membros do domínio. Para agilizar esse processo em um computador pode ser executado o comando gpupdate /force
  2. Realizar, em um computador membro do domínio, as operações de ligar, logon, logoff e desligar. Verificar se aparecem os registros correspondentes no painel do Lumiun em Administrar > Log de atividades.

Em caso de qualquer dúvida na configuração da GPO do Lumiun Agent para integração ao AD, entre em contato conosco e iremos lhe auxiliar.