認証とドメインコントローラーへの接続

ドメインをポーリングする際の認証とドメインコントローラーへの接続

Linux ディストリビューションポイントを使用してドメインコントローラーをポーリングする時、ディストリビューションポイントは、ドメインコントローラーへの初期接続を確立するための接続プロトコルを識別します。このプロトコルは、ドメインコントローラーへの今後のすべての接続に使用されます。ドメインコントローラーへの初期接続を確立する時に、ネットワークエージェントフラグ(KLNAG_LDAP_TLS_REQCERT および KLNAG_LDAP_SSL_CACERT)を使用して接続オプションを変更できます。この記事で説明されているように、klscflag を使用してネットワークエージェントフラグを構成できます。

ドメインコントローラーへの最初の接続は次のように行われます:

  1. Linux ディストリビューションポイントが、LDAPS 経由でドメインコントローラーに接続しようとします。

    既定では、証明書の検証は必要ありません。証明書の検証を実施するには、KLNAG_LDAP_TLS_REQCERT フラグを 1 に設定します。

    KLNAG_LDAP_TLS_REQCERTフラグに指定できる値:

    • 0 - 証明書が要求されますが、証明書が提供されない場合や証明書の検証が失敗した場合でも、TLS 接続は正常に作成されたと判断されます(既定値)。
    • 1 - LDAP サーバー証明書の厳密な検証が必要です。

    既定では、KLNAG_LDAP_SSL_CACERT フラグが指定されていない場合、OS 依存の認証局(CA)へのパスが証明書チェーンへのアクセスに使用されます。KLNAG_LDAP_SSL_CACERT フラグを使用してカスタムパスを指定します。

  2. LDAPS 接続が失敗した場合、Linux ディストリビューションポイントは、SASL(DIGEST-MD5)を使用して暗号化されていない TCP 接続経由でドメインコントローラーへの接続をしようとします。

フラグの設定

klscflag ユーティリティを使用してフラグを設定できます。

Linux ディストリビューションポイントでは、コマンドラインを実行し、カレントディレクトリを klscflag ユーティリティのあるディレクトリに変更します。既定では、Linux ディストリビューションポイントの klscflag ユーティリティは /opt/kaspersky/ksc64/sbin にあります。

たとえば、次のコマンドは証明書の検証を強制します:

klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

ページのトップに戻る