身分驗證與網域控制器連線

輪詢網域時進行驗證並與網域控制器連線

當使用 Linux 發佈點輪詢網域控制器時,發佈點會識別連線協定以建立與網域控制器的初始連線。未來所有與該網域控制器的連線,都會使用此通訊協定。建立與網域控制器的初始連線時,您可使用網路代理標誌KLNAG_LDAP_TLS_REQCERTKLNAG_LDAP_SSL_CACERT變更連線選項。您可以使用 klscflag 設定網路代理標誌,如本文所述。

初次與網域控制器連線的程序如下:

  1. 發佈點嘗試透過 LDAPS 連線到網域控制器。

    預設並不會要求執行憑證驗證。將 KLNAG_LDAP_TLS_REQCERT 標誌設為 1,即可強制執行憑證驗證。

    KLNAG_LDAP_TLS_REQCERT 標誌的可能值:

    • 0:請求憑證,但如果未提供或憑證驗證失敗,仍認為 TLS 連線已成功建立(預設值)。
    • 1:需要嚴格驗證 LDAP 伺服器憑證。

    預設情況下,如果未指定 KLNAG_LDAP_SSL_CACERT 標誌,會使用依作業系統而定的憑證授權單位 (CA) 路徑來存取憑證鏈。使用 KLNAG_LDAP_SSL_CACERT 旗標,即可指定自訂路徑。

  2. 如果 LDAPS 連線失敗,Linux 發佈點會嘗試使用 SASL (DIGEST-MD5),透過非加密 TCP 連線連接到網域控制器。

設定標誌

您可以使用 klscflag 公用程式設定旗標。

在 Linux 發佈點上執行命令行,然後將目前目錄變更為包含 klscflag 公用程式的目錄。預設情況下,在 Linux 發佈點上,klscflag 公用程式位於 /opt/kaspersky/ksc64/sbin。

例如,以下命令會強制執行憑證驗證:

klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

頁頂