Autenticazione e connessione a un controller di dominio durante il polling di un dominio
Durante il polling di un controller di dominio utilizzando un punto di distribuzione Linux, il punto di distribuzione identifica il protocollo di connessione per stabilire la connessione iniziale al controller di dominio. Questo protocollo viene utilizzato per tutte le connessioni future al controller di dominio. Quando si stabilisce la connessione iniziale al controller di dominio, è possibile modificare le opzioni di connessione utilizzando il flag Network Agent KLNAG_LDAP_TLS_REQCERT
e KLNAG_LDAP_SSL_CACERT
. È possibile configurare i flag Network Agent utilizzando klscflag come descritto in questo articolo.
La connessione iniziale a un controller di dominio procede come segue:
Per impostazione predefinita, la verifica del certificato non è richiesta. Impostare il contrassegno KLNAG_LDAP_TLS_REQCERT
su 1 per applicare la verifica del certificato.
Possibili valori del contrassegno KLNAG_LDAP_TLS_REQCERT
:
0
: il certificato viene richiesto, ma se non viene fornito o se la verifica del certificato non è riuscita, la connessione TLS viene considerata ancora creata correttamente (valore predefinito).1
: è richiesta una verifica rigorosa del certificato del server LDAP.Per impostazione predefinita, quando il flag KLNAG_LDAP_SSL_CACERT
non è specificato, per accedere alla catena di certificati viene utilizzato il percorso dipendente dal sistema operativo dell'autorità di certificazione (CA). Utilizzare il contrassegno KLNAG_LDAP_SSL_CACERT
per specificare un percorso personalizzato.
Configurazione dei contrassegni
È possibile utilizzare l'utilità klscflag per configurare i contrassegni.
In un punto di distribuzione Linux, eseguire la riga dei comandi, quindi modificare la directory corrente nella directory con l'utilità klscflag. Per impostazione predefinita, nel punto di distribuzione Linux l'utilità klscflag si trova in /opt/kaspersky/ksc64/sbin.
Ad esempio, il seguente comando impone la verifica del certificato:
klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1