Autenticación y conexión a un controlador de dominio al sondear un dominio
Al sondear un controlador de dominio con un punto de distribución Linux, el punto de distribución identifica el protocolo de conexión para establecer la conexión inicial al controlador de dominio. Este protocolo se usa para todas las conexiones futuras al controlador de dominio. Al establecer la conexión inicial con el controlador de dominio, puede cambiar las opciones de conexión mediante los indicadores del Agente de red KLNAG_LDAP_TLS_REQCERT y KLNAG_LDAP_SSL_CACERT. Puede configurar los indicadores del Agente de red con klscflag como se describe en este artículo.
La conexión inicial a un controlador de dominio procede de la siguiente manera:
De forma predeterminada, la verificación del certificado no es obligatoria. Establezca el indicador KLNAG_LDAP_TLS_REQCERT a 1 para aplicar la verificación del certificado.
Valores posibles del indicador KLNAG_LDAP_TLS_REQCERT:
0: se solicita el certificado, pero si no se proporciona o la verificación del certificado falla, la conexión TLS aún se considera creada correctamente (valor predeterminado).1: se requiere una verificación estricta del certificado del servidor LDAP.De forma predeterminada, cuando el indicador KLNAG_LDAP_SSL_CACERT no se especifica, se utiliza la ruta dependiente del sistema operativo a la autoridad de certificación (CA) para acceder a la cadena de certificados. Utilice el indicador KLNAG_LDAP_SSL_CACERT para especificar una ruta personalizada.
Configuración de indicadores
Puede usar la utilidad klscflag para configurar indicadores.
En un punto de distribución Linux, ejecute el símbolo del sistema y cambie el directorio actual al directorio con la utilidad klscflag. De manera predeterminada, en el punto de distribución Linux, la utilidad klscflag está ubicada en /opt/kaspersky/ksc64/sbin.
Por ejemplo, el siguiente comando hace cumplir la verificación del certificado:
klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1