Autenticación y conexión a un controlador de dominio

Autenticación y conexión a un controlador de dominio al sondear un dominio

Al sondear un controlador de dominio, el Servidor de administración o un punto de distribución identifica el protocolo de conexión para establecer la conexión inicial al controlador de dominio. Este protocolo se usa para todas las conexiones futuras al controlador de dominio. Al establecer la conexión inicial al controlador de dominio, puede cambiar las opciones de conexión con los indicadores del Agente de red (KLNAG_LDAP_TLS_REQCERT y KLNAG_LDAP_SSL_CACERT). Puede configurar los indicadores del Agente de red con klscflag como se describe en este artículo.

La conexión inicial a un controlador de dominio procede de la siguiente manera:

  1. El Servidor de administración o un punto de distribución intenta conectarse al controlador de dominio a través de LDAPS.

    De forma predeterminada, la verificación del certificado no es obligatoria. Establezca el indicador KLNAG_LDAP_TLS_REQCERT en 1 para aplicar la verificación del certificado.

    Posibles valores del indicador KLNAG_LDAP_TLS_REQCERT_AUTH:

    • 0: se solicita el certificado, pero si no se proporciona o la verificación del certificado falló, la conexión TLS aun se considera creada correctamente (valor predeterminado).
    • 1: se requiere una verificación estricta del certificado del servidor LDAP.

    De forma predeterminada, si no se especifica el indicador KLNAG_LDAP_SSL_CACERT, se usa la ruta de acceso a la autoridad de certificación (CA), que depende del sistema operativo, para acceder a la cadena de certificados. Utilice el indicador KLNAG_LDAP_SSL_CACERT para especificar una ruta personalizada.

  2. Si la conexión LDAPS falla, el Servidor de administración o un punto de distribución intenta conectarse al controlador de dominio a través de una conexión TCP no cifrada mediante SASL (DIGEST-MD5).

Autenticación y conexión a un controlador de dominio al autenticar un usuario de dominio en el Servidor de administración

Cuando un usuario de dominio se autentica en el Servidor de administración, el Servidor de administración identifica el protocolo para establecer la conexión con el controlador de dominio.

La conexión a un controlador de dominio procede de la siguiente manera:

  1. El Servidor de administración intenta conectarse al controlador de dominio a través de LDAPS.

    Se requiere una verificación estricta del certificado del servidor LDAP.

    De forma predeterminada, si no se especifica el indicador KLNAG_LDAP_SSL_CACERT, se usa la ruta de acceso a la autoridad de certificación (CA), que depende del sistema operativo, para acceder a la cadena de certificados. Utilice el indicador KLNAG_LDAP_SSL_CACERT para especificar una ruta personalizada.

  2. Si la conexión LDAPS falla, se produce un error de conexión al controlador de dominio y no se utilizan otros protocolos de conexión.

Configuración de indicadores

Puede usar la utilidad klscflag para configurar indicadores.

Ejecute el símbolo del sistema y luego cambie el directorio actual al directorio con la utilidad klscflag. En el dispositivo del Servidor de administración, la utilidad klscflag se encuentra en el directorio de instalación. La ruta de instalación predeterminada es /opt/kaspersky/ksc64/sbin.

Por ejemplo, el siguiente comando hace cumplir la verificación del certificado:

klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

Inicio de página