Autenticación y conexión a un controlador de dominio al sondear un dominio
Al sondear un controlador de dominio con un punto de distribución Linux, el punto de distribución identifica el protocolo de conexión para establecer la conexión inicial al controlador de dominio. Este protocolo se usa para todas las conexiones futuras al controlador de dominio. Al establecer la conexión inicial al controlador de dominio, puede cambiar las opciones de conexión con los indicadores del Agente de red KLNAG_LDAP_TLS_REQCERT y KLNAG_LDAP_SSL_CACERT. Puede configurar los indicadores del Agente de red con klscflag como se describe en este artículo.
La conexión inicial a un controlador de dominio procede de la siguiente manera:
De forma predeterminada, la verificación del certificado no es obligatoria. Establezca el indicador KLNAG_LDAP_TLS_REQCERT en 1 para aplicar la verificación del certificado.
Posibles valores del indicador KLNAG_LDAP_TLS_REQCERT:
0: se solicita el certificado, pero si no se proporciona o la verificación del certificado falló, la conexión TLS aun se considera creada correctamente (valor predeterminado).1: se requiere una verificación estricta del certificado del servidor LDAP.De manera predeterminada, si no se especifica el indicador KLNAG_LDAP_SSL_CACERT, se usa la ruta de acceso a la autoridad de certificación (CA), que depende del sistema operativo, para acceder a la cadena de certificados. Utilice el indicador KLNAG_LDAP_SSL_CACERT para especificar una ruta personalizada.
Configuración de indicadores
Puede usar la utilidad klscflag para configurar indicadores.
En un punto de distribución Linux, ejecute el símbolo del sistema y cambie el directorio actual al directorio con la utilidad klscflag. De manera predeterminada, en el punto de distribución Linux, la utilidad klscflag está ubicada en /opt/kaspersky/ksc64/sbin.
Por ejemplo, el siguiente comando hace cumplir la verificación del certificado:
klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1