轮询域时进行身份验证并连接到域控制器
当使用 Linux 分发点轮询域控制器时,分发点识别连接协议以建立与域控制器的初始连接。该协议用于将来与域控制器的所有连接。建立与域控制器的初始连接时,您可以使用网络代理标志 KLNAG_LDAP_TLS_REQCERT and KLNAG_LDAP_SSL_CACERT 更改连接选项。您可以按照本文所述使用 klscflag 配置网络代理标志。
与域控制器的初始连接过程如下:
默认情况下不需要证书验证。将 KLNAG_LDAP_TLS_REQCERT 标记设置为 1 以强制执行证书验证。
KLNAG_LDAP_TLS_REQCERT 标记的可能值:
0 — 已请求证书,但如果未提供证书或证书验证失败,则 TLS 连接仍被视为成功创建(默认值)。1 — 需要严格验证 LDAP 服务器证书。默认情况下,如果未指定 KLNAG_LDAP_SSL_CACERT 标志,则使用与操作系统相关的证书颁发机构 (CA) 的路径来访问证书链。使用 KLNAG_LDAP_SSL_CACERT 标志指定自定义路径。
配置标记
您可以使用 klscflag 实用程序来配置标志。
在 Linux 分发点上,运行命令行,然后将当前目录更改为包含 klscflag 实用程序的目录。默认情况下,在 Linux 分发点上,klscflag 实用程序位于 /opt/kaspersky/ksc64/sbin 中。
例如,以下命令强制执行证书验证:
klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1