Active Directory

En el marco de un despliegue local, deben proporcionarse tres cuentas de servicio de Active Directory distintas.

1. Cuenta de solo lectura

Esta cuenta sirve para consultar el LDAP con el fin de obtener información sobre los usuarios y los grupos.

Función: Solo lectura (Read-Only).
Función: recupera información sobre el usuario y el grupo a través del protocolo LDAP (o LDAPS).
Permisos necesarios: debe tener los derechos necesarios para realizar búsquedas y leer los atributos de los usuarios en el directorio de Active Directory.
Ubicación en la aplicación: Los datos de identificación de esta cuenta se configurarán en el archivo de configuración de Medulla (información solicitada en el formulario de entrega).

2. Cuenta de registro de máquinas (imágenes/masterización)

Esta cuenta está destinada a las operaciones de aprovisionamiento y registro de nuevos equipos en el dominio durante el proceso de creación de imágenes (o masterización).

Función: Derechos de registro de equipos en el dominio.
Función: Permitir añadir ordenadores al dominio de Active Directory.
Permisos necesarios: Debe tener el derecho «Añadir estaciones de trabajo al dominio».
Integración en el proceso: Esta cuenta será integrada y utilizada porSysprep para ejecutar la operación de incorporación al dominio durante el mastering del equipo.

3. Cuenta de ejecución de scripts (instalación del agente Medulla)

Esta cuenta es necesaria para las tareas de administración posteriores al despliegue, concretamente parala instalación remota del agente Medulla a través de PowerShell, dirigiéndose a una unidad organizativa (OU) definida.

Función: Enumerar los ordenadores del AD y ejecutar scripts de PowerShell de forma remota con derechos delegados.
Función: Enumerar los ordenadores del AD. Instalar y configurar el agente Medulla en los equipos cliente, dirigiéndose a los equipos de una UO específica.
Permisos necesarios:
- Derechos delegados sobre la UO de destino: debe tener derechos para modificar los objetos «Computer» y derechos que permitan la ejecución de comandos de forma remota (a través de WinRM o una solución equivalente) en los equipos de la UO especificada.
- Acceso al recurso compartido de red: si el script o el instalador del agente Medulla se encuentra almacenado en un recurso compartido, la cuenta debe tener derechos de lectura sobre dicho recurso compartido.
- Listar los ordenadores del AD: Debetener derechos para listar los ordenadores del AD con el fin de seleccionar aquellos en los que se debe instalar el agente.
Uso: La aplicación Python utilizará esta cuenta para iniciar y validar la ejecución de los scripts de PowerShell en los equipos, garantizando que el agente se instale y que el equipo esté correctamente asignado a la estructura de unidad organizativa adecuada.

Requisitos de red para Medulla SaaS

Prueba de FLUX

Cortafuegos

Active Directory

Ya tengo un servidor PXE en mi red, ¿supone esto algún problema?

Diagrama de flujo simplificado de Medulla

OIDC

Vistas de DNS y relé de Medulla en la DMZ

Filtra los tipos de máquinas por ID GLPI

Accesos a GLPI para Medulla

Desactivar la convergencia del paquete «Extract drivers»

Guía de configuración: Autenticación OIDC y sincronización de usuarios

Soporte de activación / WSUS / CVE / Tienda

Cambiar el nombre del FQDN y pasar a HTTPS en Medulla

Cambiar el puerto SSH entre el servidor y los equipos

GLPI - Conectar un GLPI externo

SOPORTE - Acceso

Instalación de Medulla en un servidor privado virtual (VPS) de OVH

Equipos de cliente (estado y visibilidad)

Paquetes

Mantenimiento remoto y guía de inicio

Poner el agente en modo de depuración

Problema con el agente de Windows

Introducción

Las ACLs

Las ACLs, continuación

Consola y administración

Aumentar el tiempo de espera de las sesiones web (MMC / XMLRPC)

Recuperar la contraseña de root de la interfaz de Medulla

Despliegue (teledifusión)

Paquetes

Actualizaciones (Windows Updates)

Los menús de imágenes

Equipos de cliente (estado y visibilidad)

GPO

Reconfigurar mi agente

Generar agentes para Windows y Linux

Agentes de la distribución Linux MINT

Desinstalar un agente de Medulla (versiones anteriores a la 5.5.2)

Desinstalar un agente de Medulla (versión 5.5.2 y posteriores)

¿Cómo forzar la reconfiguración de los agentes de Medulla?

Duplicados de direcciones MAC

Comprobar la comunicación del agente con el servidor

Alertas de WithSecure sobre el uso de PAExec por parte de Medulla

Arquitectura y despliegue de los servidores de retransmisión de Medulla

Procedimiento para añadir relés a Medulla SaaS dedicado

Actualización de Medulla: de la versión 5.4.x a la 5.5.x

Servicios

Requisitos previos de Imágenes

Imágenes - Davos Debug

Imágenes - Depuración

¿Dónde se almacenan las plantillas de imágenes de Medulla?

Acerca de los másteres

Un equipo desconocido no aparece en Medulla ni en GLPI tras el registro PXE

Copiar perfiles de imágenes

Funcionamiento de la herramienta WSUS

El módulo de actualización (WSUS) no está disponible tras la activación de la protección AES de los catálogos de actualizaciones

Active Directory

1. Cuenta de solo lectura

2. Cuenta de registro de máquinas (imágenes/masterización)

3. Cuenta de ejecución de scripts (instalación del agente Medulla)