Домен контроллерін аутентификациялау және қосу

Доменді сұрау кезінде аутентификация және домен контроллеріне қосылу

Домен контроллерін сұрау кезінде Басқару сервері немесе тарату нүктесі домен контроллеріне бастапқы қосылымды орнату үшін қосылым протоколын анықтайды. Бұл протокол домен контроллерінің болашақтағы барлық қосылымдары үшін пайдаланылады. Домен контроллеріне бірінші рет қосылғанда, Желілік агенттің жалаушаларын (KLNAG_LDAP_TLS_REQCERT және KLNAG_LDAP_SSL_CACERT) пайдаланып, қосылым параметрлерін өзгертуге болады. Осы мақалада сипатталғандай, klscflag пәрменін пайдаланып, Желілік агент жалаушаларын конфигурациялауға болады.

Домен контроллеріне бастапқы қосылу келесідей іске асады:

  1. Басқару сервері немесе тарату нүктесі LDAPS арқылы домен контроллеріне қосылуға әрекеттенуде.

    Әдепкі бойынша сертификатты тексеру қажет болмайды. Сертификатты мәжбүрлі түрде тексеру үшін KLNAG_LDAP_TLS_REQCERT жалаушасын 1 мәніне орнатыңыз.

    KLNAG_LDAP_TLS_REQCERT_AUTH жалаушасының мүмкін мәндері:

    • 0 – сертификат сұралады, бірақ ол берілмесе немесе сертификатты тексеру сәтсіз аяқталса, TLS қосылымы әлі де сәтті жасалған деп саналады (әдепкі мән).
    • 1 – LDAP сервері сертификатын қатаң тексеру қажет.

    Әдепкі бойынша, егер KLNAG_LDAP_SSL_CACERT жалаушасы белгіленбесе, сертификаттар тізбегіне қол жеткізу үшін сертификаттау орталығының (CA) операциялық жүйеге тәуелді жолы қолданылады. Басқа жолды көрсету үшін KLNAG_LDAP_SSL_CACERT жалаушасын пайдаланыңыз.

  2. LDAPS қосылымы сәтсіз болса, Басқару сервері немесе тарату нүктесі SASL (DIGEST-MD5) арқылы шифрланбаған TCP қосылымы арқылы домен контроллеріне қосылуға әрекет жасайды.

Басқару серверінде домен пайдаланушысын аутентификациялау кезінде аутентификация және домен контроллеріне қосылу

Домен пайдаланушысы Басқару серверіне аутентификация жасағанда, Басқару сервері домен контроллерімен байланыс орнату протоколын анықтайды.

Домен контроллеріне қосылу келесідей іске асады:

  1. Басқару сервері домен контроллеріне LDAPS арқылы қосылуға әрекеттенеді.

    LDAP сервері сертификатын қатаң тексеру қажет.

    Әдепкі бойынша, егер KLNAG_LDAP_SSL_CACERT жалаушасы белгіленбесе, сертификаттар тізбегіне қол жеткізу үшін сертификаттау орталығының (CA) операциялық жүйеге тәуелді жолы қолданылады. Басқа жолды көрсету үшін KLNAG_LDAP_SSL_CACERT жалаушасын пайдаланыңыз.

  2. LDAPS қосылымы сәтсіз болса, домен контроллеріне қосылу қатесі орын алады және басқа қосылым протоколдары пайдаланылмайды.

Жалаушаларды конфигурациялау

Жалаушаларды конфигурациялау үшін klscflag утилитасын пайдалануға болады.

Пәрмен жолын іске қосыңыз және ағымдағы каталогты klscflag утилитасы бар каталогке өзгертіңіз. Басқару сервері құрылғысында klscflag утилитасы орнату директориясында орналасқан. Әдепкі бойынша жол - /opt/kaspersky/ksc64/sbin.

Мысалы, келесі пәрмен сертификатты мәжбүрлі түрде тексереді:

klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

Басына оралу