Authentification et connexion au contrôleur de domaine

Authentification et connexion au contrôleur de domaine lors du sondage du domaine

Lors du sondage d'un contrôleur de domaine, le Serveur d'administration ou un point de distribution identifie le protocole de connexion pour établir la connexion initiale avec le contrôleur de domaine. Ce protocole sera utilisé pour toutes les connexions futures au contrôleur de domaine. Lors de la connexion initiale avec le contrôleur de domaine, vous pouvez modifier les options de connexion à l'aide des indicateurs de l'Agent d'administration (KLNAG_LDAP_TLS_REQCERT et KLNAG_LDAP_SSL_CACERT). Vous pouvez configurer les indicateurs de l'Agent d'administration à l'aide de klsclag comme décrit dans cet article.

La connexion initiale à un contrôleur de domaine se déroule comme suit :

Le Serveur d'administration ou un point de distribution tente de se connecter au contrôleur de domaine via LDAPS.
Par défaut, la vérification du certificat n'est pas requise. Définissez l'indicateur KLNAG_LDAP_TLS_REQCERT sur 1 pour appliquer la vérification du certificat.

Valeurs possibles de l'indicateur KLNAG_LDAP_TLS_REQCERT_AUTH :
- 0 : le certificat est demandé, mais s'il n'est pas fourni ou si la vérification du certificat a échoué, la connexion TLS est toujours considérée comme créée avec succès (valeur par défaut).
- 1 : une vérification stricte du certificat du serveur LDAP est requise.
Par défaut, lorsque l'indicateur KLNAG_LDAP_SSL_CACERT n'est pas défini, le chemin d'accès à l'autorité de certification (CA) dépendant du système d'exploitation permet d'accéder à la chaîne de certification. Utilisez l'indicateur KLNAG_LDAP_SSL_CACERT pour spécifier un chemin d'accès personnalisé.
Si la connexion LDAPS échoue, le Serveur d'administration ou un point de distribution tente de se connecter au contrôleur de domaine via une connexion TCP non chiffrée en utilisant SASL (DIGEST-MD5).

Authentification et connexion au contrôleur de domaine lors de l'authentification d'un utilisateur du domaine auprès du Serveur d'administration

Quand un utilisateur du domaine s'authentifie sur le Serveur d'administration, le Serveur d'administration identifie le protocole pour établir la connexion avec le contrôleur de domaine.

La connexion à un contrôleur de domaine se déroule comme suit :

Le Serveur d'administration tente de se connecter au contrôleur de domaine via LDAPS.
Une vérification stricte du certificat du serveur LDAP est requise.

Par défaut, lorsque l'indicateur KLNAG_LDAP_SSL_CACERT n'est pas défini, le chemin d'accès à l'autorité de certification (CA) dépendant du système d'exploitation permet d'accéder à la chaîne de certification. Utilisez l'indicateur KLNAG_LDAP_SSL_CACERT pour spécifier un chemin d'accès personnalisé.
Si la connexion LDAPS échoue, une erreur de connexion au contrôleur de domaine se produit, et les autres protocoles de connexion ne sont pas utilisés.

Configuration des indicateurs

Vous pouvez utiliser l'utilitaire klscflag pour configurer les indicateurs.

Exécutez la ligne de commande, puis remplacez votre répertoire actuel par celui contenant l'utilitaire klscflag. Sur l'appareil du Serveur d'administration, l'utilitaire klsclag se trouve dans le répertoire d'installation. Le chemin d'installation par défaut est /opt/kaspersky/ksc64/sbin.

Par exemple, la commande suivante applique la vérification du certificat :

klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

Haut de page