ドメインをポーリングする際の認証とドメインコントローラーへの接続
ドメインコントローラーをポーリングする時、管理サーバーまたはディストリビューションポイントは、ドメインコントローラーへの初期接続を確立するための接続プロトコルを識別します。このプロトコルは、ドメインコントローラーへの今後のすべての接続に使用されます。ドメインコントローラーへの初期接続を確立する時に、ネットワークエージェントフラグ(KLNAG_LDAP_TLS_REQCERT および KLNAG_LDAP_SSL_CACERT)を使用して接続オプションを変更できます。この記事で説明されているように、klscflag を使用してネットワークエージェントフラグを構成できます。
ドメインコントローラーへの最初の接続は次のように行われます:
既定では、証明書の検証は必要ありません。証明書の検証を実施するには、KLNAG_LDAP_TLS_REQCERT フラグを 1 に設定します。
KLNAG_LDAP_TLS_REQCERT_AUTHフラグに指定できる値:
0 - 証明書が要求されますが、証明書が提供されない場合や証明書の検証が失敗した場合でも、TLS 接続は正常に作成されたと判断されます(既定値)。1 - LDAP サーバー証明書の厳密な検証が必要です。既定では、KLNAG_LDAP_SSL_CACERT フラグが指定されていない場合、OS 依存の認証局(CA)へのパスが証明書チェーンへのアクセスに使用されます。KLNAG_LDAP_SSL_CACERT フラグを使用してカスタムパスを指定します。
管理サーバーにドメインユーザーを認証する際の認証とドメインコントローラーへの接続
ドメインユーザーが管理サーバー上で認証すると、管理サーバーはドメインコントローラーへの接続を確立するためのプロトコルを識別します。
ドメインコントローラーへの接続は次のように行われます:
LDAP サーバー証明書の厳密な検証が必要です。
既定では、KLNAG_LDAP_SSL_CACERT フラグが指定されていない場合、OS 依存の認証局(CA)へのパスが証明書チェーンへのアクセスに使用されます。KLNAG_LDAP_SSL_CACERT フラグを使用してカスタムパスを指定します。
フラグの設定
klscflag ユーティリティを使用してフラグを設定できます。
コマンドラインを実行し、現在のディレクトリを klscflag ユーティリティのあるディレクトリに変更します。管理サーバーデバイスでは、klscflag ユーティリティはインストールディレクトリにあります。既定のインストールパスは /opt/kaspersky/ksc64/sbin です。
たとえば、次のコマンドは証明書の検証を強制します:
klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1