Tópico Anterior

Como atualizar credenciais em cache do Windows

Quando usuários em um ambiente AD fazem login em suas máquinas Windows dentro da rede organizacional, seus dados de login são salvos no cache local das máquinas. Isso permite que façam login novamente com sua senha do Windows mesmo estando fora da rede corporativa, pois as credenciais serão verificadas contra o cache local em vez do AD. No entanto, se esquecerem a senha ou se a senha em cache expirar enquanto estiverem desconectados da rede corporativa, não poderão fazer login nem receberão solicitações para atualizar suas senhas. Mesmo que o administrador redefina a senha remotamente, ela não será sincronizada com o cache quando a máquina estiver fora da rede organizacional, e os usuários ficarão bloqueados.

O ADSelfService Plus resolve isso oferecendo reset de credenciais em cache. Quando ativado, um link para Redefinir Senha/Desbloquear Conta é adicionado diretamente à tela de login do Windows. Para redefinir suas senhas, os usuários devem clicar no link e provar sua identidade por meio de qualquer um dos métodos de autenticação aplicados, como: Tokens de Hardware e Software, Autenticação Biométrica ou Autenticação Push. Uma vez que a identidade do usuário seja verificada com sucesso, ele poderá redefinir suas senhas de domínio AD esquecidas ou expiradas.

A atualização das credenciais em cache local nas máquinas Windows pode ser realizada:

1. Através de um cliente VPN
2. Sem usar VPN

Atualizando credenciais em cache através de um cliente VPN

O login agent do ADSelfService Plus usa uma interface de linha de comando (CLI) para iniciar uma conexão com a VPN integrada. Qualquer provedor de VPN que suporte uma CLI com privilégios de conta LocalSystem pode ser usado para atualização de credenciais em cache. Esses comandos CLI de VPN serão usados pelo ADSelfService Plus para conectar automaticamente ao AD durante as operações de Redefinição de Senha e Atualização de Credenciais em Cache.

Clientes VPN suportados

• Fortinet
• Cisco IPSec
• Cisco AnyConnect
• Windows Native VPN
• SonicWall NetExtender
• Checkpoint EndPoint Connect
• SonicWall Global VPN
• OpenVPN
• VPN Personalizada

Fluxo do processo

Se Atualizar credenciais em cache através de um cliente VPN estiver habilitado,

1. A identidade do usuário é verificada via MFA, e a solicitação de redefinição de senha é enviada ao ADSelfService Plus, que atualiza a nova senha no AD.
2. A nova senha é enviada ao Windows Login Agent na máquina do usuário.
3. O login agent estabelece automaticamente uma conexão segura com o AD através dos comandos de conexão VPN configurados e inicia uma solicitação para atualizar as credenciais em cache local.
4. A solicitação é aprovada com sucesso pelo AD, e as credenciais em cache são atualizadas automaticamente no cache local da máquina Windows do usuário.

Configurando a atualização de credenciais em cache através de uma VPN

Pré-requisitos

• Você deve ter instalado um cliente VPN que suporte uma CLI com privilégios de conta LocalSystem em cada máquina dos usuários.
• Esteja preparado com uma conta de serviço se:
• Sua organização exigir MFA para conexões VPN de usuários finais, ou
• Uma conta compartilhada for usada para todas as conexões VPN iniciadas pelos usuários da sua organização.

Nota: Por padrão, as conexões VPN para atualizar o cache local serão iniciadas com as credenciais do usuário final que iniciou a redefinição de senha.

Etapas de configuração

1. Faça login no ADSelfService Plus com credenciais de administrador.
2. Navegue até Configuration > Administrative Tools > GINA/Mac/Linux (Ctrl+Alt+Del).
3. Clique em Windows Cached Credential Update.



4. Defina o botão de alternância para Enable Cached C redential Update .
5. Selecione Update cached credentials through a VPN client.
6. Selecione o VPN Provider na lista suspensa.
7. Insira o VPN Hostname/IP address e o VPN Port Number nos respectivos campos.
8. In the VPN Client Path field, enter the full path to where the VPN client is installed on the users' machines. For example,
   C:\ProgramFiles\Fortinet\FortiClient\FortiClient.exe
9. Se desejar usar uma conta de serviço para conexões VPN, selecione Enable VPN Access via a Service Account e insira as credenciais da conta de serviço.

Aqui estão os locais dos clientes para os provedores de VPN suportados nativamente no ADSelfService Plus:

• Cisco AnyConnect: C:\ Program Files (x86 )\Cisco\Cisco AnyConnect\vpncli.exe
• SonicWall Global VPN: C:\Program Files (x86)\SonicWall\SonicWall Global VPN\swgvc.exe
• Fortinet VPN: The appropriate version of the VPN client file (FortiSSLVPNClient.exe) must be downloaded from the Fortinet support portal and installed on users' machines. To download the VPN client file (FortiSSLVPNClient.exe), log into the Fortinet support portal and navigate to Firmware Downloads > FortiClient > select_your_VPN_version > FortinetClientTools.zip. Click on HTTPS to download the ZIP file. Unzip and extract the FortiSSLVPNClient.exe file (you can find it within the SSLVPNcmdline folder) to a location accessible to the ADSelfService Plus Windows Login Agent. The location where the FortiSSLVPNClient.exe file has been installed must be mentioned as the VPN Client Path. Example:
  C:\FortiClient\FortiSSLVPN\x86\FortiSSLVPNClient.exe
• Check Point VPN: C:\Program Files (x86)\CheckPoint\Endpoint Connect\trac.exe
• SonicWall NetExtender: C:\Program Files (x86)\Sonicwall\SSL-VPN\NetExtender\necli.exe
• OpenVPN: C:\Program Files (x86)\Sophos\Sophos ssl client\bin\openvpn.exe
• Cisco IPSec: C:\Program Files (x86)\Cisco\Cisco IPSec\vpnclient.exe

O local do cliente VPN deve ser mantido uniformemente em todas as máquinas dos usuários. Se estiver usando um provedor VPN personalizado, entre em contato com a equipe de suporte do seu provedor VPN para saber o nome do cliente usado para a interface de linha de comando e informe seu local como o local do cliente.

Para Custom VPN, macros (%user_name%, %password%, etc.) podem ser usadas no VPN Connect/Disconnect Command. (Nota: A sintaxe para o VPN Connect/Disconnect Command varia dependendo do provedor VPN usado.)

Exemplo: connect -s adsspvpn -h %servername%:%portno% -u %user_name%:%password%

10. Clique em Save.

Configurações específicas do provedor VPN

Estas são configurações específicas para provedores VPN que permitem aos administradores ter controle granular sobre as conexões VPN. As configurações específicas para VPNs suportadas pelo ADSelfService Plus estão descritas abaixo.

Fortinet

• Protocolo: L2TP (Layer 2 Tunneling Protocol). Outros protocolos não são suportados no momento.
• Macro(s) suportada(s): %user_name%, %password%, %servername% e %portno%

Cisco Anyconnect VPN

• Recursos não suportados: O banner Accept Disclaimer.
• VPN Group Name: Ao conectar-se ao Cisco Anyconnect VPN usando a linha de comando, se o prompt solicitar que você insira o VPN Group Name como um número da lista fornecida (Ex: 1 - VPN admins, 2 - VPN users), insira o mesmo número que está em o campo VPN Group Name no portal administrativo do ADSelfService Plus.

Windows Native VPN

• Protocolo suportado: L2TP (Layer 2 Tunneling Protocol). Outros protocolos não são suportados no momento.
• Chave pré-compartilhada: Insira a chave pré-compartilhada usada para uma conexão L2TP.

Open VPN

• Comando de conexão de exemplo: --config "Full_path_to_the_o.vpn_file>" --auth-user-pass %tempFile%

Você precisará substituir pelo caminho completo do arquivo .ovpn localizado na máquina. As credenciais do usuário ou da conta de serviço serão inseridas em um arquivo temporário criado durante o processo de login. A macro %tempFile% será substituída por este nome de arquivo durante a conexão VPN, e a senha será atualizada no cache. Saiba mais.

Nota: Após atualizar a nova senha no cache, a VPN será desconectada e o arquivo temporário será excluído automaticamente, protegendo assim as credenciais da conta do usuário.

VPN Personalizada

• Comando de conexão de exemplo: -t vpn.selfservice.com -u john -i allow -U -P autologin -m other connect
• Macro(s) suportada(s): %user_name%, %password%, %servername% e %portno%

Macros VPN disponíveis no ADSelfService Plus

• %user_name% - será substituído pelo sAMAccountName do usuário ou pelo nome de usuário da conta de serviço
• %password% - será substituído pela senha do usuário ou pela senha da conta de serviço
• %servername% - será substituído pelo valor do VPN HostName/IP
• %portno% - será substituído pelo valor do número da porta VPN

Atualizando credenciais em cache sem um cliente VPN

As credenciais em cache podem ser atualizadas sem uma VPN se sua organização não possuir infraestrutura VPN ou usar um fornecedor VPN não suportado pelo ADSelfService Plus.

Fluxo do processo

Se Update Cached Credentials without a VPN client estiver habilitado,

1. A identidade do usuário é verificada por meio de MFA e a solicitação de Redefinição de Senha é enviada ao ADSelfService Plus, que atualiza a nova senha no AD.
2. Após a nova senha ser atualizada no AD, o cache local nas máquinas dos usuários é automaticamente atualizado com a nova senha.

Etapas de configuração

1. Faça login no ADSelfService Plus com credenciais de administrador.
2. Navegue até Configuration > Administrative Tools > GINA/Mac/Linux (Ctrl+Alt+Del).
3. Clique em Windows Cached Credential Update.



4. Defina o botão de alternância para Enable Cached Credential Update.
5. Selecione Update cached credentials without a VPN client.
6. Clique em Save.

Próximo Tópico