轮询域时进行身份验证并连接到域控制器
当轮询域控制器时,管理服务器或分发点识别连接协议以建立与域控制器的初始连接。该协议用于将来与域控制器的所有连接。建立与域控制器的初始连接时,您可以使用网络代理标志 (KLNAG_LDAP_TLS_REQCERT and KLNAG_LDAP_SSL_CACERT) 更改连接选项。您可以按照本文所述使用 klscflag 配置网络代理标志。
与域控制器的初始连接过程如下:
默认情况下不需要证书验证。将 KLNAG_LDAP_TLS_REQCERT 标记设置为 1 以强制执行证书验证。
KLNAG_LDAP_TLS_REQCERT_AUTH 标记的可能值:
0 — 已请求证书,但如果未提供证书或证书验证失败,则 TLS 连接仍被视为成功创建(默认值)。1 — 需要严格验证 LDAP 服务器证书。默认情况下,如果未指定 KLNAG_LDAP_SSL_CACERT 标志,则使用与操作系统相关的证书颁发机构 (CA) 的路径来访问证书链。使用 KLNAG_LDAP_SSL_CACERT 标志指定自定义路径。
在向管理服务器验证域用户身份时,需要进行身份验证并连接到域控制器
当域用户在管理服务器上进行身份验证时,管理服务器会识别协议来与域控制器建立连接。
与域控制器建立连接的过程如下:
需要严格验证 LDAP 服务器证书。
默认情况下,如果未指定 KLNAG_LDAP_SSL_CACERT 标志,则使用与操作系统相关的证书颁发机构 (CA) 的路径来访问证书链。使用 KLNAG_LDAP_SSL_CACERT 标志指定自定义路径。
配置标记
您可以使用 klscflag 实用程序来配置标志。
运行命令行,然后将当前目录更改为包含 klscflag 实用程序的目录。在管理服务器设备上,klscflag 实用程序位于安装目录中。默认安装路径为/opt/kaspersky/ksc64/sbin。
例如,以下命令强制执行证书验证:
klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1