応答アクションを実行するための Active Directory との統合の設定

Active Directory との統合により、Active Directoryユーザーに対する応答アクションを実行できます。アラートの影響を受ける、またはアラートに関係する。

アラートに応答するための Active Directory との統合、ADFS 統合、およびドメインコントローラーのポーリングを構成する時に指定する Active Directory ドメインコントローラーをスキャンするための設定（ドメインコントローラーのアドレスとユーザー資格情報）は、異なる設定です。応答アクションを実行するユーザーが Active Directory アカウントを持っていることを確認する必要があるため、スキャン用と応答用の両方の統合を設定する必要があります。順序は重要ではありません。

統合設定は継承されず、これらの設定を構成する管理サーバー（物理または仮想）にのみ適用されます。

アラートに応答するために Active Directory との統合を設定するには：

1. メインメニューで、管理サーバーの名前の横にある設定アイコン（）をクリックします。

   管理サーバーのプロパティウィンドウの［全般］タブが表示されます。

2. [ディストリビューションポイント] セクションを選択し、必要なディストリビューションポイントの名前をクリックします。
3. プロパティウィンドウが開いたら、［Active Directory］セクションを選択します。
4. 右側のペインで、［Active Directory 連携］スイッチをオンにします。

   後で統合をオフにしたい場合は、［Active Directory 連携］スイッチをオフにすることによってのみ、すべての接続に対して統合をオフにすることができます。個別の接続の統合をオフにすることはできません。代わりに、接続を削除することもできます。

5. ［接続の追加］をクリックして、Active Directory ドメインコントローラーへの接続を作成します。
6. 表示されたウィンドウで、接続のための以下のパラメータを指定します：
   • ドメインコントローラーのアドレス

     コンピューター名または IP アドレス（例：server.mycompany.com）。複数のアドレスを指定できます。指定するアドレスを持つすべてのドメインコントローラーは同じドメインに属している必要があります。

   • Active Directory ドメイン名

     DNS 完全修飾ドメイン名、例：mycompany.com

     小文字を使用してください。管理サーバーまたはディストリビューションポイントに複数の接続を作成する場合は、接続ごとに異なる名前を指定します。

   • ログイン

     応答アクションを実行する管理者権限を持つ Active Directory アカウントのログイン。

   • パスワード

     応答アクションを実行する管理者権限を持つ Active Directory アカウントのパスワード。

7. 接続状態を確認するには、［接続を確認］をクリックします。

   接続が正常に確立されると、［接続済み］ステータスが表示されます。それ以外の場合、ステータスは［失敗］となり、接続に失敗したドメインコントローラーを示すエラーメッセージが表示されます。

   Active Directory に接続する方法（Linux デバイスから接続するか、Windows デバイスから接続するか）を考慮する必要があります。

   Linux デバイスからの接続

   既定では、Linux デバイスからドメインコントローラーに接続して認証する場合のロジックは次のようになります：

   1. ディストリビューションポイントが、LDAPS 経由でドメインコントローラーに接続しようとします。

      LDAP サーバー証明書の強力な検証が実行されます。

   2. 証明書を検証するには、ドメインコントローラー証明書の公開部分をシステム証明書リポジトリに配置します。

      システム認証局（CA）への OS 依存パスは、証明書チェーンへのアクセスに使用されます。

      例：

      • /etc/ssl/certs/ca-certificates.crt – Debian ベースのオペレーティングシステム（Debian、Ubuntu、Astra）のパス。
      • /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem – CentOS または Red Hat のパス。
   3. LDAPS 接続が失敗するとエラーが発生し、他の接続プロトコルは使用されません。

      LDAPS に関する問題がある場合は、カスペルスキーテクニカルサポートにお問い合わせください。

   証明書をシステム証明書リポジトリにインストールしたくない場合は、KLNAG_LDAP_SSL_CACERT フラグを使用してドメインコントローラー証明書へのパスを設定できます。これを実行するには、次のコマンドを実行します：

   klscflag -fset -pv klnagent -n KLNAG_LDAP_SSL_CACERT -t s -v "</path/to/domain-controller/cert>"

   ここで、</path/to/domain-controller/cert> は、ドメインコントローラー証明書の公開部分へのパスです。

   たとえば、パスが /var/opt/kaspersky/ldap_cert.crt の場合、コマンドは klscflag -fset -pv klnagent -n KLNAG_LDAP_SSL_CACERT -ts -v "/var/opt/kaspersky/ldap_cert.crt" となります。

   Windows デバイスからの接続

   Windows デバイスからドメインコントローラーに接続して認証する場合、接続設定はドメインによって定義されます。

   次の点だけ確認する必要があります：

   • LDAPS が有効になっており、デバイスでポート 636 が使用可能です。
   • ファイアウォールまたはプロキシサーバー経由でドメインコントローラーへの接続を許可します。
8. ［作成］をクリックします。

ウィンドウが閉じられ、接続が接続テーブルに表示されます。

接続テーブルで次の操作を実行できます：

• 接続パラメータを編集します。

  これを行うには、必要な接続の［ドメインコントローラーのアドレス］パラメータを含むリンクをクリックします。開いたウィンドウで必要な設定を変更し、［保存］をクリックします。

  ［ログイン］と［パスワード］パラメータのみ編集できます。

• 接続を削除します。

  これを行うには、削除したい接続の横にあるチェックボックスをオンにし、ツールバーの［削除］をクリックし、接続の削除を確認します。

ページのトップに戻る