Authentifizierung und Verbindung mit einem Domänencontroller während der Untersuchung einer Domäne
Während der Untersuchung eines Domänencontrollers identifiziert der Administrationsserver oder ein Verteilungspunkt das Verbindungsprotokoll, um die erstmalige Verbindung mit dem Domänencontroller herzustellen. Dieses Protokoll wird für alle zukünftigen Verbindungen zum Domänencontroller verwendet.
Die erstmalige Verbindung mit einem Domänencontroller erfolgt folgendermaßen:
Standardmäßig ist keine Überprüfung des Zertifikats notwendig. Um die Überprüfung des Zertifikats zu erzwingen, setzen Sie den Parameter KLNAG_LDAP_TLS_REQCERT
auf "1".
Mögliche Einstellungswerte des Parameters KLNAG_LDAP_TLS_REQCERT_AUTH
:
0
– Das Zertifikat wurde angefordert, aber wenn es nicht bereitgestellt wurde oder die Überprüfung des Zertifikats fehlgeschlagen ist, gilt die TLS-Verbindung dennoch als erfolgreich hergestellt (Standardwert).1
– Es ist eine strenge Überprüfung des LDAP-Serverzertifikats erforderlich.Standardmäßig wird für den Zugriff auf die Zertifikatskette der vom Betriebssystem abhängige Pfad zur Zertifizierungsstelle (CA) verwendet. Um einen benutzerdefinierten Pfad anzugeben, verwenden Sie den Parameter KLNAG_LDAP_SSL_CACERT
.
Authentifizierung und Verbindung mit einem Domänencontroller während der Authentifizierung eines Domänenbenutzers beim Administrationsserver
Wenn sich ein Domänenbenutzer auf dem Administrationsserver authentifiziert, identifiziert der Administrationsserver das Protokoll für den Verbindungsaufbau zum Domänencontroller.
Die Verbindung mit einem Domänencontroller erfolgt folgendermaßen:
Standardmäßig ist eine Überprüfung des Zertifikats notwendig. Verwenden Sie das Flag KLNAG_LDAP_TLS_REQCERT_AUTH
, um die Überprüfung des Zertifikats zu konfigurieren.
Mögliche Einstellungswerte des Parameters KLNAG_LDAP_TLS_REQCERT_AUTH
:
0
– Das Zertifikat wurde angefordert, aber wenn es nicht bereitgestellt wurde oder die Überprüfung des Zertifikats fehlgeschlagen ist, gilt die TLS-Verbindung dennoch als erfolgreich hergestellt.1
– Es ist eine strenge Überprüfung des LDAP-Serverzertifikats erforderlich (Standardwert).Standardmäßig wird für den Zugriff auf die Zertifikatskette der vom Betriebssystem abhängige Pfad zur Zertifizierungsstelle (CA) verwendet. Um einen benutzerdefinierten Pfad anzugeben, verwenden Sie den Parameter KLNAG_LDAP_SSL_CACERT
.
Parameter konfigurieren
Sie können das Tool "klscflag" verwenden, um die Parameter zu konfigurieren.
Öffnen Sie die Befehlszeile und wechseln Sie anschließend in das Verzeichnis mit dem Tool "klscflag". Das Tool "klscflag" befindet sich in dem Verzeichnis, in dem der Administrationsserver installiert ist. Der Standardinstallationspfad lautet "/opt/kaspersky/ksc64/sbin".
Der folgende Befehl erzwingt beispielsweise die Überprüfung des Zertifikats:
klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1