網域控制器輪詢
Kaspersky Security Center Linux 支援輪詢 Microsoft Active Directory 網域控制器和 Samba 網域控制器。對於 Samba 網域控制器, Samba 4 用作 Active Directory 網域控制器。
當您輪詢網域控制器時,管理伺服器或發佈點會檢索有關網域中包含的裝置的網域結構、使用者帳戶、安全群組和 DNS 名稱的資訊。
如果所有聯網裝置都是網域的成員,我們建議使用網域控制器輪詢。如果某些聯網裝置未包含在網域中,則網域控制器輪詢無法發現這些裝置。
先決條件
在輪詢網域控制器之前,請確保啟用以下協定:
- 簡單身分驗證和安全層 (SASL)
- 輕量級目錄訪問協定 (LDAP)
確保網域控制器裝置上的以下連接埠可用:
- 389 用於 SASL
- 636 用於 TLS
使用管理伺服器進行網域控制器輪詢
要使用管理伺服器輪詢網域控制器:
- 在主功能表中,轉至發現和佈署 → 發現 → 網域控制器。
- 點擊輪詢設定。
網域控制器輪詢設定視窗將開啟。
- 選擇啟用網域控制器輪詢選項。
- 在輪詢指定網域中,點擊新增 ,然後指定網域控制器的位址和使用者憑據。
- 如有必要,請在網域控制器輪詢設定視窗中指定輪詢排程。預設間隔是一小時。下次輪詢接收的資料完全取代舊資料。
有以下輪詢排程選項可用:
如果您變更網域安全群組中的使用者帳戶,這些變更將在您輪詢網域控制器一小時後顯示在 Kaspersky Security Center Linux 中。
- 點擊儲存以套用變更。
- 如果您要立即執行輪詢,請點擊開始輪詢按鈕。
使用發佈點進行網域控制器輪詢
您還可以使用發佈點輪詢網域控制器。基於 Windows 或 Linux 的受管理裝置可以充當發佈點。
對於 Linux 發佈點,支援對 Microsoft Active Directory 網域控制器和 Samba 網域控制器進行輪詢。
對於 Windows 發佈點,僅支援對 Microsoft Active Directory 網域控制器的輪詢。
使用 Mac 發佈點進行輪詢不受支援。
要使用發佈點配置網域控制器輪詢:
- 開啟發佈點屬性。
- 選擇網域控制器輪詢部分。
- 選擇啟用網域控制器輪詢選項。
- 選擇要輪詢的網域控制器。
如果您使用 Linux 發佈點,請在輪詢指定網域部分中點擊新增,然後指定網域控制器的位址和使用者憑據。
如果您使用 Windows 發佈點,則可以選擇以下選項之一:
- 輪詢目前網域
- 輪詢整個網域樹系
- 輪詢指定網域
- 如果需要,點擊設定輪詢排程按鈕以指定輪詢排程選項。
輪詢僅根據指定的排程開始。無法手動啟動輪詢。
輪詢完成後,網域結構將顯示在網域控制器部分中。
如果您設定和啟用了裝置移動規則,新發現的裝置會自動包含在受管理裝置群組中。如果未啟用移動規則,新發現的裝置被自動包含在未配置的裝置群組。
被發現的使用者帳戶可用於在卡巴斯基安全管理中心網頁主控台中進行網域身分驗證。
身分驗證與網域控制器連線
初次與網域控制器連線時,管理伺服器會識別連線通訊協定。未來所有與該網域控制器的連線,都會使用此通訊協定。
初次與網域控制器連線的程序如下:
- 管理伺服器嘗試透過 TLS 連線到網域控制器。
預設並不會要求執行憑證驗證。將 KLNAG_LDAP_TLS_REQCERT 標旗標誌設為 1,即可強制執行憑證驗證。
預設會使用依作業系統而定的憑證授權單位 (CA) 路徑來存取憑證鏈。使用 KLNAG_LDAP_SSL_CACERT 旗標,即可指定自訂路徑。
- 如果 TLS 連線失敗,管理伺服器會嘗試透過 SASL (DIGEST-MD5) 連線到網域控制器。
- 如果 SASL (DIGEST-MD5) 連線失敗,管理伺服器會改用以未加密 TCP 連線進行的簡單身分驗證,連線到網域控制器。
您可以使用 klscflag 公用程式設定旗標。
執行命令行,然後將目前目錄變更為包含 klscflag 公用程式的目錄。klscflag 公用程式位於安裝管理伺服器的目錄中。預設安裝路徑為 /opt/kaspersky/ksc64/sbin。
例如,以下命令會強制執行憑證驗證:
klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1