المصادقة والاتصال بوحدة تحكم المجال

المصادقة والاتصال بوحدة تحكم المجال عند استقصاء مجال

عند استقصاء وحدة تحكم المجال باستخدام نقطة توزيع Linux، تحدد نقطة التوزيع بروتوكول الاتصال لتأسيس الاتصال الأولي بوحدة تحكم المجال. يتم استخدام هذا البروتوكول لجميع الاتصالات المستقبلية بوحدة تحكم المجال. عند إنشاء الاتصال الأولي بوحدة تحكم المجال، يمكنك تغيير خيارات الاتصال باستخدام علامتي عميل الشبكة KLNAG_LDAP_TLS_REQCERT وKLNAG_LDAP_SSL_CACERT.‏ يمكنك تكوين علامات عميل الشبكة باستخدام klscflag، كما هو موضح في هذه المقالة.

يستمر الاتصال الأولي بوحدة تحكم المجال على النحو التالي:

تحاول نقطة توزيع Linux الاتصال بوحدة تحكم المجال عبر LDAPS.‏
بشكل افتراضي، يكون التحقق من الشهادة غير مطلوب. اضبط علامة KLNAG_LDAP_TLS_REQCERT على 1 لفرض التحقق من الشهادة.

القيم المحتملة لعلامة KLNAG_LDAP_TLS_REQCERT:
- 0—يتم طلب الشهادة، لكن إذا لم يتم تقديمها أو فشل التحقق من الشهادة، فسيظل اتصال TLS قد تم إنشاؤه بنجاح (القيمة الافتراضية).
- 1—مطلوب التحقق الصارم من شهادة خادم LDAP.‏
بشكل افتراضي ، عندما لا يتم تحديد العلامة KLNAG_LDAP_SSL_CACERT، يتم استخدام المسار المعتمد على نظام التشغيل إلى جهة التصديق (CA) للوصول إلى سلسلة الشهادة. استخدم العلامة KLNAG_LDAP_SSL_CACERT لتحديد مسار مخصص.
في حالة فشل اتصال LDAPS، تحاول نقطة توزيع Linux الاتصال بوحدة تحكم المجال عبر اتصال TCP غير مشفر باستخدام SASL (DIGEST-MD5).‏

تكوين العلامات

يمكنك استخدام الأداة المساعدة klscflag لتكوين العلامات.

في نقطة توزيع Linux، قم بتشغيل سطر الأوامر، ثم قم بتغيير الدليل الحالي إلى الدليل باستخدام الأداة المساعدة klscflag. بشكل افتراضي، على نقطة توزيع Linux، توجد أداة klscflag في /opt/kaspersky/ksc64/sbin.‏

على سبيل المثال، يفرض الأمر التالي التحقق من الشهادة:

klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

أعلى الصفحة