Implantação do Lumiun Agent para Integração com Active Directory no Lumiun Box (Windows Server em Português)
A integração do Lumiun com Active Directory permite a identificação dos usuários de internet, para regras de acesso e relatórios do Lumiun, em formato “single sign-on”, sem que os usuários precisem digitar novamente a senha para acesso à internet.
A implantação do Lumiun Agent na infraestrutura de domínio ocorre através da configuração de uma Group Policy. Essa Policy irá executar o agente nas operações de Logon e Logoff dos usuários, bem como Startup e Shutdown dos computadores. O Lumiun Agent é executado instantaneamente em cada evento, e não ficará rodando em background ou como um serviço no computador.
Estas informações referem-se ao produto Lumiun Box.
Administrador da rede configura no AD uma Group Policy contendo um agente do Lumiun. Essa Policy será executada no Logon do usuário, Logoff do usuário, Startup do computador e Shutdown do computador.
Quando um usuário efetuar Logon, será executado o agente que informará à API do Lumiun dados como o endereço IP e nome do computador, login e nome do usuário, e grupos ao qual o usuário pertence.
No momento do Logon, caso o usuário seja membro no AD de um grupo existente no painel do Lumiun (grupo com mesmo nome), o Lumiun irá posicionar o usuário no respectivo grupo. Caso exista mais de um grupo nessa condição, o usuário será posicionado no primeiro grupo em ordem alfabética. Se não existir um grupo equivalente, o usuário será posicionado, no painel do Lumiun, em um grupo padrão.
Além do Logon, o utilitário também informará à API do Lumiun os eventos de Logoff, Startup e Shutdown. Essas informações poderão ser visualizadas no painel do Lumiun. Todos esses eventos acionarão na API também o logoff de um eventual usuário anterior que, por algum motivo, não teve logoff registrado no momento correto.
O painel do Lumiun não necessitará de acesso especial via LDAP ao Active Directory para fazer a autenticação. A identificação do usuário terá funcionalidade semelhante a “single sign-on”, pois após o logon no computador não será exigida nova autenticação para uso da internet.
Essa identificação de usuários funciona apenas para computadores Windows membros do domínio. Não funciona para smartphones.
O agente gera um arquivo de log na pasta %TEMP% denominado LumiunAgent_log.txt, útil para diagnóstico em caso de problemas.
Acesso ao Active Directory com permissão suficiente para criar uma nova GPO.
O utilitário LumiunAgent.exe (download do Lumiun Agent atualizado).
Token da rede, obtido no painel do Lumiun em Administrar > Redes > Visualizar token.
Ter configurado no painel do Lumiun o Encaminhamento DNS com o seu domínio local e o IP do respectivo servidor DNS interno.
Ter configurado o grupo onde estão os computadores, no painel do Lumiun Box, com autenticação Active Directory. Para essa configuração, acessar Administrar > Grupos > Editar o grupo desejado > Autenticação > Transparente via integração com Active Directory.
Em caso de qualquer dúvida, entre em contato conosco e iremos lhe auxiliar.
No servidor Active Directory, abrir Ferramentas Administrativas > Gerenciamento de Política de Grupo.
Clicar com o botão direito no domínio e selecionar “Criar um GPO neste domínio e fornecer um link para ele aqui”.
Definir o nome que preferir para a nova GPO e clicar em OK.
Na nova GPO que foi criada, clicar com o botão direito e selecionar Editar.
Abrir Configuração do Computador > Políticas > Modelos Administrativos > Sistema > Política de Grupo. Localizar e abrir o item “Configurar atraso de script de logon”. Selecionar a opção Habilitado, preencher o campo “minuto:” com 0 (zero) e salvar clicando em OK.
Na GPO, abrir Configuração do Computador > Políticas > Configurações do Windows > Scripts (Inicialização/Encerramento) > Inicialização.
Clicar no botão “Mostrar Arquivos”. Na pasta que abre, colar dentro dessa pasta uma cópia do arquivo LumiunAgent.exe e fechar a pasta.
Clicar em Adicionar.
Preencher o campo “Nome do Script” com LumiunAgent.exe
Em “Parâmetros do Script”, digitar “startup <token>”, sendo <token> substituído pelo token desta rede obtido no painel do Lumiun. Exemplo: startup ABCDEFGHIJKLMNOPQRSTUVWXYZ123456
Clicar em OK e OK.
Na GPO, abrir Configuração do Computador > Políticas > Configurações do Windows > Scripts (Inicialização/Encerramento) > Desligamento.
Clicar no botão “Mostrar Arquivos”. Na pasta que abre, colar dentro dessa pasta uma cópia do arquivo LumiunAgent.exe e fechar a pasta.
Clicar em Adicionar.
Preencher o campo “Nome do Script” com LumiunAgent.exe
Em “Parâmetros do Script”, digitar “shutdown <token>”, sendo <token> substituído pelo token desta rede obtido no painel do Lumiun. Exemplo: shutdown ABCDEFGHIJKLMNOPQRSTUVWXYZ123456
Clicar em OK e OK.
Na GPO, abrir Configuração do Usuário > Políticas > Configurações do Windows > Scripts (Logon/Logoff) > Logon.
Clicar no botão “Mostrar Arquivos” . Na pasta que abre, colar dentro dessa pasta uma cópia do arquivo LumiunAgent.exe e fechar a pasta.
Clicar em Adicionar.
Preencher o campo “Nome do Script” com LumiunAgent.exe
Em “Parâmetros do Script”, digitar “logon <token>”, sendo <token> substituído pelo token desta rede obtido no painel do Lumiun. Exemplo: logon ABCDEFGHIJKLMNOPQRSTUVWXYZ123456
Clicar em OK e OK.
Na GPO, abrir Configuração do Usuário > Políticas > Configurações do Windows > Scripts (Logon/Logoff) > Logoff.
Clicar no botão “Mostrar Arquivos”. Na pasta que abre, colar dentro dessa pasta uma cópia do arquivo LumiunAgent.exe e fechar a pasta.
Clicar em Adicionar.
Preencher o campo “Nome do Script” com LumiunAgent.exe
Em “Parâmetros do Script”, digitar “logoff <token>”, sendo <token> substituído pelo token desta rede obtido no painel do Lumiun. Exemplo: logoff ABCDEFGHIJKLMNOPQRSTUVWXYZ123456
Clicar em OK e OK.
Aguardar a aplicação da nova Policy aos computadores membros do domínio. Para agilizar esse processo em um computador pode ser executado o comando gpupdate /force
Realizar, em um computador membro do domínio, as operações de ligar, logon, logoff e desligar. Verificar se aparecem os registros correspondentes no painel do Lumiun em Administrar > Log de atividades.
Em caso de qualquer dúvida na configuração da GPO do Lumiun Agent para integração ao AD, entre em contato conosco e iremos lhe auxiliar.
A implantação do Lumiun Agent na infraestrutura de domínio ocorre através da configuração de uma Group Policy. Essa Policy irá executar o agente nas operações de Logon e Logoff dos usuários, bem como Startup e Shutdown dos computadores. O Lumiun Agent é executado instantaneamente em cada evento, e não ficará rodando em background ou como um serviço no computador.
Estas informações referem-se ao produto Lumiun Box.
Fluxo geral de funcionamento da integração do Lumiun com Active Directory
Administrador da rede configura no AD uma Group Policy contendo um agente do Lumiun. Essa Policy será executada no Logon do usuário, Logoff do usuário, Startup do computador e Shutdown do computador.
Quando um usuário efetuar Logon, será executado o agente que informará à API do Lumiun dados como o endereço IP e nome do computador, login e nome do usuário, e grupos ao qual o usuário pertence.
No momento do Logon, caso o usuário seja membro no AD de um grupo existente no painel do Lumiun (grupo com mesmo nome), o Lumiun irá posicionar o usuário no respectivo grupo. Caso exista mais de um grupo nessa condição, o usuário será posicionado no primeiro grupo em ordem alfabética. Se não existir um grupo equivalente, o usuário será posicionado, no painel do Lumiun, em um grupo padrão.
Além do Logon, o utilitário também informará à API do Lumiun os eventos de Logoff, Startup e Shutdown. Essas informações poderão ser visualizadas no painel do Lumiun. Todos esses eventos acionarão na API também o logoff de um eventual usuário anterior que, por algum motivo, não teve logoff registrado no momento correto.
O painel do Lumiun não necessitará de acesso especial via LDAP ao Active Directory para fazer a autenticação. A identificação do usuário terá funcionalidade semelhante a “single sign-on”, pois após o logon no computador não será exigida nova autenticação para uso da internet.
Essa identificação de usuários funciona apenas para computadores Windows membros do domínio. Não funciona para smartphones.
O agente gera um arquivo de log na pasta %TEMP% denominado LumiunAgent_log.txt, útil para diagnóstico em caso de problemas.
Requisitos para realizar a implantação do Lumiun Agent para Integração com Active Directory
Acesso ao Active Directory com permissão suficiente para criar uma nova GPO.
O utilitário LumiunAgent.exe (download do Lumiun Agent atualizado).
Token da rede, obtido no painel do Lumiun em Administrar > Redes > Visualizar token.
Ter configurado no painel do Lumiun o Encaminhamento DNS com o seu domínio local e o IP do respectivo servidor DNS interno.
Ter configurado o grupo onde estão os computadores, no painel do Lumiun Box, com autenticação Active Directory. Para essa configuração, acessar Administrar > Grupos > Editar o grupo desejado > Autenticação > Transparente via integração com Active Directory.
Em caso de qualquer dúvida, entre em contato conosco e iremos lhe auxiliar.
Procedimento para a criação da Group Policy que acionará o agente do Lumiun
No servidor Active Directory, abrir Ferramentas Administrativas > Gerenciamento de Política de Grupo.
Clicar com o botão direito no domínio e selecionar “Criar um GPO neste domínio e fornecer um link para ele aqui”.
Definir o nome que preferir para a nova GPO e clicar em OK.
Na nova GPO que foi criada, clicar com o botão direito e selecionar Editar.
Abrir Configuração do Computador > Políticas > Modelos Administrativos > Sistema > Política de Grupo. Localizar e abrir o item “Configurar atraso de script de logon”. Selecionar a opção Habilitado, preencher o campo “minuto:” com 0 (zero) e salvar clicando em OK.
Configuração da GPO para evento Startup (Inicialização)
Na GPO, abrir Configuração do Computador > Políticas > Configurações do Windows > Scripts (Inicialização/Encerramento) > Inicialização.
Clicar no botão “Mostrar Arquivos”. Na pasta que abre, colar dentro dessa pasta uma cópia do arquivo LumiunAgent.exe e fechar a pasta.
Clicar em Adicionar.
Preencher o campo “Nome do Script” com LumiunAgent.exe
Em “Parâmetros do Script”, digitar “startup <token>”, sendo <token> substituído pelo token desta rede obtido no painel do Lumiun. Exemplo: startup ABCDEFGHIJKLMNOPQRSTUVWXYZ123456
Clicar em OK e OK.
Configuração da GPO para evento Shutdown (Desligamento)
Na GPO, abrir Configuração do Computador > Políticas > Configurações do Windows > Scripts (Inicialização/Encerramento) > Desligamento.
Clicar no botão “Mostrar Arquivos”. Na pasta que abre, colar dentro dessa pasta uma cópia do arquivo LumiunAgent.exe e fechar a pasta.
Clicar em Adicionar.
Preencher o campo “Nome do Script” com LumiunAgent.exe
Em “Parâmetros do Script”, digitar “shutdown <token>”, sendo <token> substituído pelo token desta rede obtido no painel do Lumiun. Exemplo: shutdown ABCDEFGHIJKLMNOPQRSTUVWXYZ123456
Clicar em OK e OK.
Configuração da GPO para evento Logon
Na GPO, abrir Configuração do Usuário > Políticas > Configurações do Windows > Scripts (Logon/Logoff) > Logon.
Clicar no botão “Mostrar Arquivos” . Na pasta que abre, colar dentro dessa pasta uma cópia do arquivo LumiunAgent.exe e fechar a pasta.
Clicar em Adicionar.
Preencher o campo “Nome do Script” com LumiunAgent.exe
Em “Parâmetros do Script”, digitar “logon <token>”, sendo <token> substituído pelo token desta rede obtido no painel do Lumiun. Exemplo: logon ABCDEFGHIJKLMNOPQRSTUVWXYZ123456
Clicar em OK e OK.
Configuração da GPO para evento Logoff
Na GPO, abrir Configuração do Usuário > Políticas > Configurações do Windows > Scripts (Logon/Logoff) > Logoff.
Clicar no botão “Mostrar Arquivos”. Na pasta que abre, colar dentro dessa pasta uma cópia do arquivo LumiunAgent.exe e fechar a pasta.
Clicar em Adicionar.
Preencher o campo “Nome do Script” com LumiunAgent.exe
Em “Parâmetros do Script”, digitar “logoff <token>”, sendo <token> substituído pelo token desta rede obtido no painel do Lumiun. Exemplo: logoff ABCDEFGHIJKLMNOPQRSTUVWXYZ123456
Clicar em OK e OK.
Testar o funcionamento da integração
Aguardar a aplicação da nova Policy aos computadores membros do domínio. Para agilizar esse processo em um computador pode ser executado o comando gpupdate /force
Realizar, em um computador membro do domínio, as operações de ligar, logon, logoff e desligar. Verificar se aparecem os registros correspondentes no painel do Lumiun em Administrar > Log de atividades.
Em caso de qualquer dúvida na configuração da GPO do Lumiun Agent para integração ao AD, entre em contato conosco e iremos lhe auxiliar.
Atualizado em: 09/06/2023
Obrigado!