Authentifizierung und Verbindung mit einem Domänencontroller

Authentifizierung und Verbindung mit einem Domänencontroller während einer Domänenabfrage

Während der Abfrage eines Domänencontrollers identifiziert der Administrationsserver oder ein Verteilungspunkt das Verbindungsprotokoll, um die erstmalige Verbindung mit dem Domänencontroller herzustellen. Dieses Protokoll wird für alle zukünftigen Verbindungen zum Domänencontroller verwendet. Wenn Sie die erste Verbindung mit dem Domänencontroller herstellen, können Sie die Verbindungsoptionen mithilfe der Flags des Administrationsagenten (KLNAG_LDAP_TLS_REQCERT und KLNAG_LDAP_SSL_CACERT) ändern. Die Administrationsagenten-Flags können Sie mithilfe von klscflag konfigurieren, wie in diesem Artikel beschrieben.

Die erstmalige Verbindung mit einem Domänencontroller funktioniert wie folgt:

  1. Der Administrationsserver oder ein Verteilungspunkt versucht, über LDAPS eine Verbindung mit dem Domänencontroller herzustellen.

    Standardmäßig ist keine Überprüfung des Zertifikats notwendig. Um die Überprüfung des Zertifikats zu erzwingen, setzen Sie das Flag KLNAG_LDAP_TLS_REQCERT auf "1".

    Mögliche Einstellungswerte des Parameters KLNAG_LDAP_TLS_REQCERT:

    • 0 – Das Zertifikat wird angefordert, aber wenn es nicht bereitgestellt wurde oder die Überprüfung des Zertifikats fehlgeschlagen ist, gilt die TLS-Verbindung dennoch als erfolgreich hergestellt (Standardwert).
    • 1 – Eine strenge Überprüfung des LDAP-Serverzertifikats ist erforderlich.

    Wenn das Flag KLNAG_LDAP_SSL_CACERT nicht angegeben ist, wird standardmäßig für den Zugriff auf die Zertifikatskette der vom Betriebssystem abhängige Pfad zur Zertifizierungsstelle (CA) verwendet. Um einen benutzerdefinierten Pfad anzugeben, verwenden Sie das Flag KLNAG_LDAP_SSL_CACERT.

  2. Wenn die LDAPS-Verbindung fehlschlägt, versucht der Administrationsserver oder ein Verteilungspunkt, über eine unverschlüsselte TCP-Verbindung unter Verwendung von SASL (DIGEST-MD5) eine Verbindung zum Domänencontroller herzustellen.

Authentifizierung und Verbindung mit einem Domänencontroller während der Authentifizierung eines Domänenbenutzers auf dem Administrationsserver

Wenn sich ein Domänenbenutzer auf dem Administrationsserver authentifiziert, identifiziert der Administrationsserver das Protokoll für den Verbindungsaufbau zum Domänencontroller.

Die Verbindung mit einem Domänencontroller funktioniert wie folgt:

  1. Der Administrationsserver versucht, über LDAPS eine Verbindung zum Domänencontroller herzustellen.

    Es ist eine strenge Überprüfung des LDAP-Serverzertifikats erforderlich.

    Wenn das Flag KLNAG_LDAP_SSL_CACERT nicht angegeben ist, wird standardmäßig für den Zugriff auf die Zertifikatskette der vom Betriebssystem abhängige Pfad zur Zertifizierungsstelle (CA) verwendet. Um einen benutzerdefinierten Pfad anzugeben, verwenden Sie das Flag KLNAG_LDAP_SSL_CACERT.

  2. Wenn die LDAPS-Verbindung fehlschlägt, tritt ein Verbindungsfehler für den Domänencontroller auf und es werden keine anderen Verbindungsprotokolle verwendet.

Flags konfigurieren

Sie können die Parameter mithilfe des Tools "klscflag" konfigurieren.

Öffnen Sie die Befehlszeile und wechseln Sie anschließend in das Verzeichnis mit dem Tool "klscflag". Auf dem Gerät mit dem Administrationsserver befindet sich das Dienstprogramm "klscflag" im Installationsverzeichnis. Der Standardinstallationspfad lautet "/opt/kaspersky/ksc64/sbin".

Der folgende Befehl erzwingt beispielsweise die Überprüfung des Zertifikats:

klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

Nach oben