Autenticación y conexión a un controlador de dominio

Autenticación y conexión a un controlador de dominio al sondear un dominio

Al sondear un controlador de dominio con un punto de distribución con Linux, el punto de distribución identifica el protocolo de conexión para establecer la conexión inicial con el controlador de dominio. Este protocolo se usará para todas las conexiones futuras al controlador de dominio. Al establecer la conexión inicial con el controlador de dominio, puede cambiar las opciones de conexión con los indicadores del Agente de red KLNAG_LDAP_TLS_REQCERT y KLNAG_LDAP_SSL_CACERT. Puede configurar los indicadores del Agente de red con klscflag como se describe en este artículo.

La conexión inicial a un controlador de dominio se realiza de la siguiente manera:

  1. Un punto de distribución con Linux intenta conectarse al controlador de dominio mediante el protocolo LDAPS.

    De forma predeterminada, la verificación del certificado no es obligatoria. Establezca el indicador KLNAG_LDAP_TLS_REQCERT en 1 para verificar el certificado.

    Posibles valores del indicador KLNAG_LDAP_TLS_REQCERT:

    • 0: se solicita el certificado, pero si este no se brinda o si la verificación del certificado genera un error, se considera que la conexión TLS se estableció correctamente (valor predeterminado).
    • 1: se requiere una verificación estricta del certificado del servidor LDAP.

    De manera predeterminada, si no se especifica el indicador KLNAG_LDAP_SSL_CACERT, se usa la ruta de acceso a la autoridad de certificación (CA), que depende del sistema operativo, para acceder a la cadena de certificados. Utilice el indicador KLNAG_LDAP_SSL_CACERT para especificar una ruta personalizada.

  2. Si la conexión LDAPS falla, un punto de distribución con Linux intenta conectarse al controlador de dominio mediante una conexión TCP no cifrada a través de SASL (DIGEST-MD5).

Configuración de indicadores

Puede usar la utilidad klscflag para configurar indicadores.

En un punto de distribución con Linux, ejecute la línea de comandos y pase al directorio que contenga la utilidad klscflag. De manera predeterminada, en el punto de distribución con Linux, la utilidad klscflag se encuentra en /opt/kaspersky/ksc64/sbin.

Por ejemplo, el siguiente comando aplica la verificación del certificado:

klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

Principio de página