도메인 컨트롤러 검색

모두 펼치기 | 모두 접기

Kaspersky Security Center Linux는 Microsoft Active Directory 도메인 컨트롤러 및 Samba 도메인 컨트롤러의 검색을 지원합니다. Samba 도메인 컨트롤러에서는 Samba 4가 Active Directory 도메인 컨트롤러로 사용됩니다.

도메인 컨트롤러를 검색하면, 중앙 관리 서버 또는 배포 지점이 도메인에 포함된 장치의 도메인 구조, 사용자 계정, 보안 그룹, DNS 이름에 대한 정보를 검색합니다.

네트워크로 연결된 모든 장치가 도메인 소속이라면 도메인 컨트롤러 검색을 사용할 것을 권장합니다. 네트워크로 연결된 장치 중 일부가 도메인에 포함되어 있지 않으면 도메인 컨트롤러 검색으로 이러한 장치를 검색할 수 없습니다.

필수 구성 요소

도메인 컨트롤러를 검색하기 전에 다음 프로토콜을 활성화해야 합니다.

• SASL(Simple Authentication and Security Layer)
• LDAP(Lightweight Directory Access Protocol)

도메인 컨트롤러 장치에서 다음 포트를 사용할 수 있는지 확인합니다.

• SASL은 389
• TLS는 636

중앙 관리 서버를 사용한 도메인 컨트롤러 검색

중앙 관리 서버를 사용하여 도메인 컨트롤러를 검색하려면:

1. 메인 메뉴에서 발견 및 배포 → 발견 → 도메인 컨트롤러로 이동합니다.
2. 검색 설정을 클릭합니다.

   도메인 컨트롤러 검색 설정 창이 열립니다.

3. 도메인 컨트롤러 검색 활성화 옵션을 선택합니다.
4. 지정한 도메인 검색에서 추가를 클릭한 후 도메인 컨트롤러의 주소와 사용자 자격 증명을 지정합니다.
5. 필요하다면 도메인 컨트롤러 검색 설정 창에서 검색 스케줄을 지정합니다. 기본 기간은 1시간입니다. 이전 데이터는 다음 검색에서 수신된 데이터로 완전히 교체됩니다.

   다음과 같은 검색 스케줄 옵션을 사용할 수 있습니다:

   • 매 N일마다

     검색이 지정한 날짜와 시간부터 지정된 일 단위 간격에 따라 주기적으로 실행됩니다.

     기본적으로 검색은 현재 시스템 날짜와 시간부터 매일 실행됩니다.

   • 매 N분마다

     검색이 지정한 시간부터 지정된 분 단위 간격에 따라 주기적으로 실행됩니다.

   • 요일별

     검색이 지정한 요일의 지정된 시간에 주기적으로 실행됩니다.

   • 매달 선택한 주간의 지정한 날짜

     검색이 매월 지정한 날짜의 지정된 시간에 주기적으로 실행됩니다.

   • 누락된 작업 실행

     중앙 관리 서버는 검색이 예정된 시간 동안 꺼지거나 사용할 수 없는 상태가 되면 켜진 직후 검색을 시작하거나 검색이 예정된 다음 시간까지 기다릴 수 있습니다.

     이 옵션을 활성화하면 중앙 관리 서버는 켜진 직후에 검색을 시작합니다.

     이 옵션을 비활성화하면 중앙 관리 서버는 검색이 예정된 다음 시간까지 기다립니다.

     기본적으로 이 옵션은 비활성화되어 있습니다.

   도메인의 보안 그룹에서 사용자 계정을 변경하면 이러한 변경 사항은 도메인 컨트롤러를 검색하고 1시간 후에 Kaspersky Security Center Linux에 표시됩니다.

6. 변경 사항을 적용하려면 저장을 클릭합니다.
7. 검색을 즉시 수행하려면 폴링 시작 버튼을 누릅니다.

배포 지점을 사용한 도메인 컨트롤러 검색

배포 지점을 사용하여 도메인 컨트롤러를 검색할 수도 있습니다. Windows 또는 Linux 기반 관리 중인 기기는 배포 지점 역할을 할 수 있습니다.

Linux 배포 지점은 Microsoft Active Directory 도메인 컨트롤러 및 Samba 도메인 컨트롤러의 검색을 지원합니다.
Windows 배포 지점은 Microsoft Active Directory 도메인 컨트롤러의 검색만 지원합니다.
Mac 배포 지점을 사용한 검색은 지원되지 않습니다.

배포 지점을 사용하여 도메인 컨트롤러 검색을 구성하려면:

1. 배포 지점 속성을 엽니다.
2. 도메인 컨트롤러 검색 섹션을 선택합니다.
3. 도메인 컨트롤러 검색 활성화 옵션을 선택합니다.
4. 검색하려는 도메인 컨트롤러를 선택합니다.

   Linux 배포 지점을 사용한다면 지정한 도메인 검색 섹션에서 추가를 클릭하고 도메인 컨트롤러의 주소와 사용자 자격 증명을 지정합니다.

   Windows 배포 지점을 사용한다면 다음 옵션 중 하나를 선택할 수 있습니다.

   • 현재 도메인 검색
   • 전체 도메인 포레스트 검색
   • 지정한 도메인 검색
5. 필요하다면 검색 스케줄 설정 버튼을 클릭하여 검색 스케줄 옵션을 지정합니다.

   검색은 지정된 스케줄에 따라서만 시작됩니다. 검색을 수동으로 시작할 수는 없습니다.

검색이 완료되면 도메인 구조가 도메인 컨트롤러 섹션에 표시됩니다.

기기 이동 규칙을 설정하고 활성화한 경우 새로 발견된 기기가 관리 중인 기기 그룹에 자동으로 포함됩니다. 이동 규칙을 활성화하지 않은 경우에는 새로 발견된 기기가 미할당 기기 그룹에 자동으로 포함됩니다.

검색된 사용자 계정은 Kaspersky Security Center 웹 콘솔에서 도메인 인증에 사용될 수 있습니다.

도메인 컨트롤러에 대한 인증 및 연결

도메인 컨트롤러에 처음 연결할 때 중앙 관리 서버는 연결 프로토콜을 식별합니다. 이 프로토콜은 도메인 컨트롤러에 대한 모든 향후 연결에 사용됩니다.

도메인 컨트롤러에 대한 초기 연결은 다음과 같이 진행됩니다.

1. 중앙 관리 서버는 TLS를 통해 도메인 컨트롤러에 연결을 시도합니다.

   인증서 확인은 기본적으로 불필요합니다. 인증서를 확인하려면 KLNAG_LDAP_TLS_REQCERT 플래그를 1로 설정합니다.

   인증 기관(CA)에 대한 OS 종속 경로는 기본적으로 인증서 체인 액세스에 사용됩니다. 사용자 정의 경로를 지정하려면 KLNAG_LDAP_SSL_CACERT 플래그를 사용합니다.

2. TLS 연결이 실패하면 중앙 관리 서버는 SASL(DIGEST-MD5)을 통해 도메인 컨트롤러에 연결을 시도합니다.
3. SASL(DIGEST-MD5) 연결이 실패하면 중앙 관리 서버는 암호화되지 않은 TCP 연결을 통한 단순 인증을 사용하여 도메인 컨트롤러에 연결합니다.

klscflag 유틸리티를 사용하여 플래그를 구성할 수 있습니다.

명령줄을 실행한 후 klscflag 유틸리티를 사용하여 현재 디렉터리를 해당 디렉터리로 변경합니다. klscflag 유틸리티는 중앙 관리 서버가 설치된 디렉터리에 있습니다. 기본 설치 경로는 /opt/kaspersky/ksc64/sbin입니다.
예를 들어 다음 명령은 인증서 확인을 강제 실행합니다.

klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1