Настройка интеграции с Active Directory для реагирования на алерты

Интеграция с Active Directory позволяет выполнять действия по реагированию для пользователей Active Directory, затронутых или вовлеченных в алерт.

Интеграция с Active Directory для реагирования на алерты, ADFS-интеграция и параметры проверки контроллера домена Active Directory (адрес и учетные данные пользователя контроллера домена), который вы указываете при настройке опроса контроллера домена, это разные параметры. Поскольку вам нужно убедиться, что у пользователя, для которого должно выполняться действие по реагированию, есть учетная запись Active Directory, требуется настроить обе интеграции: для проверки и для реагирования. Порядок не имеет значения.

Параметры интеграции не наследуются, а применяются только к Серверу администрирования (физическому или виртуальному), на котором вы настраиваете эти параметры.

Чтобы настроить интеграцию с Active Directory для реагирования на алерты:

1. В главном меню нажмите на значок параметров () рядом с именем Сервера администрирования.

   Откроется окно свойств Сервера администрирования на вкладке Общие.

2. Выберите раздел Точки распространения, нажмите на название нужной точки распространения.
3. В открывшемся окне свойств выберите раздел Active Directory.
4. В правой панели включите переключатель Интеграция с Active Directory.

   Если вы захотите позже выключить интеграцию, вы можете сделать это только для всех соединений, выключив переключатель Интеграция с Active Directory. Выключить интеграцию для отдельного соединения невозможно. Вы можете удалить соединение.

5. Создайте соединение к контроллеру домена Active Directory, нажав на кнопку Добавить кнопку соединение.
6. В открывшемся окне настройте следующие параметры для соединения:
   • Адрес контроллера домена

     Имя компьютера или IP-адрес, например: server.mycompany.com. Вы можете указать несколько IP-адресов. Все контроллеры домена, IP-адреса которых вы указываете, должны принадлежать одному домену.

   • Доменное имя Active Directory.

     Полное доменное имя DNS, например: [[ mycompany.com]].

     Используйте строчные буквы. Если вы создаете несколько соединений для Сервера администрирования или точки распространения, укажите разные имена для каждого соединения.

   • Учетная запись

     Войдите в Active Directory под учетной записью с правами администратора, под которой будут выполняться действия по реагированию.

   • Пароль

     Пароль учетной записи Active Directory с правами администратора, под которой будут выполняться действия по реагированию.

7. Если вы хотите проверить статус соединения, нажмите на кнопку Проверить соединение.

   Если соединение установлено, отображается статус Подключено. Иначе отображается статус Сбой и сообщение об ошибке с контроллерами домена, к которым не удалось подключиться.

   Вам нужно учитывать способ подключения к Active Directory: с Linux-устройства или с Windows-устройства.

   Подключение с Linux-устройства

   По умолчанию при подключении и аутентификации к контроллеру домена с Linux-устройства используется следующая логика:

   1. Точка распространения пытается подключиться к контроллеру домена через LDAPS.

      Выполняется строгая проверка сертификата LDAP-сервера.

   2. Вы помещаете открытую часть сертификата контроллера домена в хранилище действительных сертификатов системы для проверки сертификата.

      Для доступа к цепочке сертификатов системы используется зависящий от операционной системы путь к центру сертификации (CA).

      Например:

      • /etc/ssl/certs/ca-certificates.crt – путь для операционных систем на основе Debian (Debian, Ubuntu, Astra).
      • /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem – путь для CentOS или Red Hat.
   3. Если не удается выполнить LDAPS-соединение, возникает ошибка и никакой другой протокол соединения использовать невозможно.

      В случае возникновения проблем с LDAPS вы можете обратиться в Службу технической поддержки "Лаборатории Касперского".

   Если вы не хотите устанавливать сертификат в хранилище сертификатов системы, вы можете использовать флаг KLNAG_LDAP_SSL_CACERT, чтобы задать путь к сертификату контроллера домена. Для этого выполните команду:

   klscflag -fset -pv klnagent -n KLNAG_LDAP_SSL_CACERT -t s -v "</path/to/domain-controller/cert>"

   где </path/to/domain-controller/cert> – путь к открытой части сертификата контроллера домена.

   Например, если путь равен "/var/opt/kaspersky/ldap_cert.crt", команда будет иметь вид klscflag -fset -pv klnagent -n KLNAG_LDAP_SSL_CACERT -t s -v "/var/opt/kaspersky/ldap_cert.crt"

   Подключение с Windows-устройства

   При подключении и аутентификации к контроллеру домена с Windows-устройства параметры подключения определяются доменом.

   Вам нужно только убедиться в следующем:

   • LDAPS включен и порт 636 доступен на устройстве.
   • Вы разрешаете подключения к контроллеру домена через сетевой экран или прокси-сервер.
8. Нажмите на кнопку Создать.

Окно закроется и соединение отобразится в списке соединений.

В таблице соединений можно выполнять следующие действия:

• Изменять параметры соединения.

  Для этого перейдите по ссылке с параметром Адрес контроллера домена для нужного соединения. В открывшемся окне измените нужные параметры и нажмите на кнопку Сохранить.

  Вы можете изменить только параметры Учетная запись и Пароль.

• Удалять подключения.

  Для этого установите флажок рядом с тем соединением, которое вы хотите удалить, в панели инструментов нажмите на кнопку Удалить и подтвердите удаление соединения.

В начало