認証とドメインコントローラーへの接続

ドメインをポーリングする際の認証とドメインコントローラーへの接続

ドメインコントローラーをポーリングする時、管理サーバーまたはディストリビューションポイントは、ドメインコントローラーへの初期接続を確立するための接続プロトコルを識別します。このプロトコルは、ドメインコントローラーへの今後のすべての接続に使用されます。ドメインコントローラーへの初期接続を確立する時に、ネットワークエージェントフラグ(KLNAG_LDAP_TLS_REQCERT および KLNAG_LDAP_SSL_CACERT)を使用して接続オプションを変更できます。この記事で説明されているように、klscflag を使用してネットワークエージェントフラグを構成できます。

ドメインコントローラーへの最初の接続は次のように行われます:

  1. 管理サーバーまたはディストリビューションポイントは、LDAPS 経由でドメインコントローラーに接続しようとします。

    既定では、証明書の検証は必要ありません。証明書の検証を実施するには、KLNAG_LDAP_TLS_REQCERT フラグを 1 に設定します。

    KLNAG_LDAP_TLS_REQCERT_AUTHフラグに指定できる値:

    • 0 - 証明書が要求されますが、証明書が提供されない場合や証明書の検証が失敗した場合でも、TLS 接続は正常に作成されたと判断されます(既定値)。
    • 1 - LDAP サーバー証明書の厳密な検証が必要です。

    既定では、KLNAG_LDAP_SSL_CACERT フラグが指定されていない場合、OS 依存の認証局(CA)へのパスが証明書チェーンへのアクセスに使用されます。KLNAG_LDAP_SSL_CACERT フラグを使用してカスタムパスを指定します。

  2. LDAPS 接続が失敗した場合、管理サーバーまたはディストリビューションポイントは、SASL(DIGEST-MD5)を使用して、暗号化されていない TCP 接続経由でドメインコントローラーに接続しようとします。

管理サーバーにドメインユーザーを認証する際の認証とドメインコントローラーへの接続

ドメインユーザーが管理サーバー上で認証すると、管理サーバーはドメインコントローラーへの接続を確立するためのプロトコルを識別します。

ドメインコントローラーへの接続は次のように行われます:

  1. 管理サーバーは、LDAPS 経由でドメインコントローラーへの接続を試行します。

    LDAP サーバー証明書の厳密な検証が必要です。

    既定では、KLNAG_LDAP_SSL_CACERT フラグが指定されていない場合、OS 依存の認証局(CA)へのパスが証明書チェーンへのアクセスに使用されます。KLNAG_LDAP_SSL_CACERT フラグを使用してカスタムパスを指定します。

  2. LDAPS 接続が失敗すると、ドメインコントローラーへの接続エラーが発生し、他の接続プロトコルは使用されません。

フラグの設定

klscflag ユーティリティを使用してフラグを設定できます。

コマンドラインを実行し、現在のディレクトリを klscflag ユーティリティのあるディレクトリに変更します。管理サーバーデバイスでは、klscflag ユーティリティはインストールディレクトリにあります。既定のインストールパスは /opt/kaspersky/ksc64/sbin です。

たとえば、次のコマンドは証明書の検証を強制します:

klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

ページのトップに戻る