Sondage du contrôleur de domaine

Tout développer | Tout réduire

Kaspersky Security Center Linux prend en charge le sondage d'un contrôleur de domaine Microsoft Active Directory et d'un contrôleur de domaine Samba. Pour un contrôleur de domaine Samba, Samba 4 est utilisé comme contrôleur de domaine Active Directory.

Lorsque vous interrogez un contrôleur de domaine, le Serveur d'administration ou un point de distribution récupère des informations sur la structure du domaine, les comptes d'utilisateurs, les groupes de sécurité et les noms DNS des appareils inclus dans le domaine.

Nous vous recommandons d'utiliser le sondage du contrôleur de domaine si tous les appareils en réseau sont membres d'un domaine. Si certains appareils en réseau ne sont pas inclus dans le domaine, ces appareils ne peuvent pas être découverts par le sondage du contrôleur de domaine.

Prérequis

Avant d'interroger un contrôleur de domaine, assurez-vous que les protocoles suivants sont activés :

• Couche d'authentification et de sécurité simple (SASL)
• Protocole d'accès léger à l'annuaire (LDAP)

Assurez-vous que les ports suivants sont disponibles sur l'appareil du contrôleur de domaine :

• 389 pour SASL
• 636 pour TLS

Sondage du contrôleur de domaine à l'aide du Serveur d'administration

Pour interroger un contrôleur de domaine à l'aide du Serveur d'administration :

1. Dans le menu principal, accédez à Découverte et déploiement → Découverte → Contrôleurs de domaine.
2. Cliquez sur Paramètres de sondage.

   La fenêtre Paramètres de sondage du contrôleur de domaine s'ouvre.

3. Sélectionnez l'option Activer le sondage du contrôleur de domaine.
4. Dans Sonder les domaines indiqués, cliquez sur Ajouter, puis spécifiez l'adresse et les informations d'identification de l'utilisateur du contrôleur de domaine.
5. Si nécessaire, dans la fenêtre Paramètres de sondage du contrôleur de domaine, spécifiez la planification du sondage. La période par défaut est une heure. Les données obtenues à l'issue d'un sondage remplacent complètement les anciennes données.

   Les options de programmation du sondage sont disponibles :

   • Tous les N jours

     Le sondage s'exécute régulièrement, selon l'intervalle défini en jours, à partir de la date et heure définis.

     Le sondage s'exécute par défaut chaque jour, à partir de la date et de l'heure actuelle du système.

   • Toutes les N minutes

     Le sondage s'exécute régulièrement, selon l'intervalle défini en minutes, à partir de l'heure définie.

   • Par jours de la semaine

     Le sondage s'exécute régulièrement les jours définis de la semaine, à l'heure indiquée.

   • Chaque mois, les jours indiqués des semaines sélectionnées

     Le sondage s'exécute régulièrement les jours définis de chaque mois, à l'heure indiquée.

   • Lancer les tâches non exécutées

     Si le Serveur d'administration est éteint ou s'il n'est pas disponible au moment auquel le sondage a été programmé, le Serveur d'administrateur peut soit lancer le sondage immédiatement après que le Serveur d'administration a été allumé ou attendre la prochaine programmation du sondage.

     Si cette option est activée, le Serveur d'administration lance le sondage directement après qu'il a été allumé.

     Si cette option est désactivée, le Serveur d'administration attend la prochaine programmation du sondage.

     Cette option est Inactif par défaut.

   Si vous modifiez les comptes d'utilisateurs dans un groupe de sécurité du domaine, ces modifications seront affichées dans Kaspersky Security Center Linux une heure après le sondage du contrôleur de domaine.

6. Cliquez sur Enregistrer pour appliquer les modifications.
7. Si vous souhaitez effectuer le sondage immédiatement, cliquez sur le bouton Démarrer le sondage.

Sondage du contrôleur de domaine à l'aide d'un point de distribution

Vous pouvez également interroger un contrôleur de domaine à l'aide d'un point de distribution. Un appareil administré basé sur Windows ou Linux peut servir de point de distribution.

Pour un point de distribution Linux, le sondage d'un contrôleur de domaine Microsoft Active Directory et d'un contrôleur de domaine Samba est pris en charge.
Pour un point de distribution Windows, seule le sondage d'un contrôleur de domaine Microsoft Active Directory est pris en charge.
Le sondage avec un point de distribution Mac n'est pas pris en charge.

Pour configurer le sondage du contrôleur de domaine à l'aide du point de distribution :

1. Ouvrez les propriétés du point de distribution.
2. Sélectionnez la section Sondage du contrôleur de domaine.
3. Sélectionnez l'option Activer le sondage du contrôleur de domaine.
4. Sélectionnez le contrôleur de domaine que vous souhaitez interroger.

   Si vous utilisez un point de distribution Linux, dans la section Sonder les domaines indiqués, cliquez sur Ajouter, puis spécifiez l'adresse et les informations d'identification de l'utilisateur du contrôleur de domaine.

   Si vous utilisez un point de distribution Windows, vous pouvez sélectionner une des options suivantes :

   • Sonder le domaine actuel
   • Sonder toute la forêt de domaines
   • Sonder les domaines indiqués
5. Cliquez sur le bouton Planifier le sondage pour spécifier les options de planification du sondage si nécessaire.

   Le sondage démarre uniquement selon le calendrier spécifié. Le démarrage manuel du sondage n'est pas disponible.

Une fois le sondage terminé, la structure du domaine sera affichée dans la section Contrôleurs de domaine.

Si vous configurez et activez les règles de déplacement de l'appareil, les appareils détectés sont automatiquement inclus dans le groupe Appareils administrés. Si aucune règle de déplacement n'est activée, les nouveaux appareils détectés sont automatiquement inclus dans le groupe appareils non définis.

Les comptes d'utilisateurs découverts peuvent être utilisés pour l'authentification de domaine dans Kaspersky Security Center Web Console.

Authentification et connexion au contrôleur de domaine

Lors de la connexion initiale au contrôleur de domaine, le Serveur d'administration identifie le protocole de connexion. Ce protocole sera utilisé pour toutes les connexions futures au contrôleur de domaine.

La connexion initiale à un contrôleur de domaine se déroule comme suit :

1. Le Serveur d'administration tente de se connecter au contrôleur de domaine via TLS.

   Par défaut, la vérification du certificat n'est pas requise. Définissez l'indicateur KLNAG_LDAP_TLS_REQCERT sur 1 pour appliquer la vérification du certificat.

   Par défaut, le chemin d'accès à l'autorité de certification (CA) dépendant du système d'exploitation permet d'accéder à la chaîne de certification. Utilisez l'indicateur KLNAG_LDAP_SSL_CACERT pour spécifier un chemin d'accès personnalisé.

2. Si la connexion TLS échoue, le Serveur d'administration tente de se connecter au contrôleur de domaine via SASL (DIGEST-MD5).
3. En cas d'échec de la connexion SASL (DIGEST-MD5), le Serveur d'administration utilise l'authentification simple via une connexion TCP non chiffrée pour se connecter au contrôleur du domaine.

Vous pouvez utiliser l'utilitaire klscflag pour configurer les indicateurs.

Exécutez la ligne de commande, puis remplacez votre répertoire actuel par celui contenant l'utilitaire klscflag. L'utilitaire klsclag se trouve dans le répertoire dans lequel le Serveur d'administration est installé. Le chemin d'installation par défaut est /opt/kaspersky/ksc64/sbin.
Par exemple, la commande suivante applique la vérification du certificat :

klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1