Аутентификация и подключение к контроллеру домена при опросе домена
При опросе контроллера домена Сервер администрирования или точка распространения идентифицирует протокол соединения для установления начального соединения с контроллером домена. Этот протокол используется для всех будущих подключений к контроллеру домена. При первоначальном подключении к контроллеру домена вы можете изменить параметры подключения с помощью флагов Агента администрирования (KLNAG_LDAP_TLS_REQCERT и KLNAG_LDAP_SSL_CACERT). Вы можете настроить флаги Агента администрирования с помощью команды klscflag, как описано в этой статье.
Первоначальное подключение к контроллеру домена происходит следующим образом:
По умолчанию проверка сертификата не требуется. Для флага KLNAG_LDAP_TLS_REQCERT
установите значение 1, чтобы принудительно выполнить проверку сертификата.
Возможные значения флага KLNAG_LDAP_TLS_REQCERT_AUTH
:
0
– сертификат запрошен, но если он не предоставлен или проверка сертификата завершилась неудачно, соединение TLS по-прежнему считается успешно созданным (значение по умолчанию).1
– требуется строгая проверка сертификата LDAP-сервера.По умолчанию, если флаг KLNAG_LDAP_SSL_CACERT не задан, для доступа к цепочке сертификатов используется зависящий от операционной системы путь к центру сертификации (CA). Используйте флаг KLNAG_LDAP_SSL_CACERT
, чтобы указать другой путь.
Аутентификация и подключение к контроллеру домена при аутентификации доменного пользователя на Сервере администрирования
Когда доменный пользователь выполняет аутентификацию на Сервере администрирования, Сервер администрирования определяет протокол для установки соединения с контроллером домена.
Подключение к контроллеру домена происходит следующим образом:
Требуется строгая проверка сертификата LDAP-сервера.
По умолчанию, если флаг KLNAG_LDAP_SSL_CACERT не задан, для доступа к цепочке сертификатов используется зависящий от операционной системы путь к центру сертификации (CA). Используйте флаг KLNAG_LDAP_SSL_CACERT
, чтобы указать другой путь.
Настройка флагов
Вы можете использовать утилиту klscflag для настройки флагов.
Запустите командную строку и измените текущую директорию на директорию с утилитой klscflag. На устройстве Сервера администрирования утилита klscflag находится в директории установки. По умолчанию задан путь /opt/kaspersky/ksc64/sbin.
Например, следующая команда принудительно проверяет сертификат:
klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1