Uwierzytelnianie i połączenie z kontrolerem domeny

Uwierzytelnianie i połączenie z kontrolerem domeny podczas przeszukiwania domeny

Podczas przeszukiwania kontrolera domenyza pomocą punktu dystrybucji Linux, punkt dystrybucji identyfikuje protokół połączenia w celu nawiązania początkowego połączenia z kontrolerem domeny. Protokół ten będzie używany do wszystkich przyszłych połączeń z kontrolerem domeny. Podczas nawiązywania początkowego połączenia z kontrolerem domeny można zmienić opcje połączenia, korzystając z flag Agenta sieciowego KLNAG_LDAP_TLS_REQCERT i KLNAG_LDAP_SSL_CACERT. Flagi Agenta sieciowego można skonfigurować za pomocą polecenia klscflag, zgodnie z opisem w tym artykule.

Początkowe połączenie z kontrolerem domeny przebiega w następujący sposób:

  1. Serwer administracyjny lub punkt dystrybucji próbuje połączyć się z kontrolerem domeny poprzez protokół LDAPS.

    Domyślnie weryfikacja certyfikatu nie jest wymagana. Ustaw flagę KLNAG_LDAP_TLS_REQCERT na 1, aby wymusić weryfikację certyfikatu.

    Możliwe wartości flagi KLNAG_LDAP_TLS_REQCERT:

    • 0 — Żądano certyfikatu, ale jeśli nie został on dostarczony lub weryfikacja certyfikatu nie powiodła się, połączenie TLS nadal uważa się za pomyślnie utworzone (wartość domyślna).
    • 1 — Wymagana jest ścisła weryfikacja certyfikatu serwera LDAP.

    Domyślnie, w przypadku gdy flaga KLNAG_LDAP_SSL_CACERT nie jest określona, do uzyskania dostępu do łańcucha certyfikatów używana jest ścieżka do urzędu certyfikacji (CA) zależna od systemu operacyjnego. Użyj flagi KLNAG_LDAP_SSL_CACERT, aby określić ścieżkę niestandardową.

  2. Jeżeli połączenie LDAPS nie powiedzie się, punkt dystrybucji Linux podejmie próbę połączenia się z kontrolerem domeny poprzez nieszyfrowane połączenie TCP przy użyciu protokołu SASL (DIGEST-MD5).

Konfiguracja flag

Do konfigurowania flag można użyć narzędzia klscflag.

Uruchom wiersz poleceń w punkcie dystrybucji Linux, a następnie zmień bieżący katalog na katalog z narzędziem klscflag. Domyślnie w punkcie dystrybucji Linux narzędzie klscflag znajduje się w /opt/kaspersky/ksc64/sbin.

Na przykład następujące polecenie wymusza weryfikację certyfikatu:

klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

Przejdź do góry