ドメインをポーリングする際の認証とドメインコントローラーへの接続
Linux ディストリビューションポイントを使用してドメインコントローラーをポーリングする時、ディストリビューションポイントは、ドメインコントローラーへの初期接続を確立するための接続プロトコルを識別します。このプロトコルは、ドメインコントローラーへの今後のすべての接続に使用されます。ドメインコントローラーへの初期接続を確立する時に、ネットワークエージェントフラグ(KLNAG_LDAP_TLS_REQCERT
および KLNAG_LDAP_SSL_CACERT
)を使用して接続オプションを変更できます。この記事で説明されているように、klscflag を使用してネットワークエージェントフラグを構成できます。
ドメインコントローラーへの最初の接続は次のように行われます:
既定では、証明書の検証は必要ありません。証明書の検証を実施するには、KLNAG_LDAP_TLS_REQCERT
フラグを 1 に設定します。
KLNAG_LDAP_TLS_REQCERT
フラグに指定できる値:
0
- 証明書が要求されますが、証明書が提供されない場合や証明書の検証が失敗した場合でも、TLS 接続は正常に作成されたと判断されます(既定値)。1
- LDAP サーバー証明書の厳密な検証が必要です。既定では、KLNAG_LDAP_SSL_CACERT
フラグが指定されていない場合、OS 依存の認証局(CA)へのパスが証明書チェーンへのアクセスに使用されます。KLNAG_LDAP_SSL_CACERT
フラグを使用してカスタムパスを指定します。
フラグの設定
klscflag ユーティリティを使用してフラグを設定できます。
Linux ディストリビューションポイントでは、コマンドラインを実行し、カレントディレクトリを klscflag ユーティリティのあるディレクトリに変更します。既定では、Linux ディストリビューションポイントの klscflag ユーティリティは /opt/kaspersky/ksc64/sbin にあります。
たとえば、次のコマンドは証明書の検証を強制します:
klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1