Integration mit Active Directory für die Ausführung von Reaktionsmaßnahmen konfigurieren

Die Integration mit Active Directory ermöglicht es Ihnen, Reaktionsmaßnahmen für Active Directory-Benutzer auszuführen, die vom Alarm betroffen oder daran beteiligt sind.

Um die Integration mit Active Directory für die Reaktion auf Alarme zu konfigurieren, müssen Sie den Kaspersky Security Center Linux Administrationsserver Version 15.4 oder höher verwenden.

Die Integration mit Active Directory für die Reaktion auf Alarme und die Einstellungen für die Untersuchung des Active Directory-Domänencontrollers (Adresse und Anmeldeinformationen des Domänencontrollers), die Sie bei der Konfiguration der Abfrage des Domänencontrollers angeben, sind zwei verschiedene Einstellungen. Da Sie sicherstellen müssen, dass der Benutzer, für den eine Reaktionsmaßnahme ausgeführt werden soll, über ein Active Directory-Konto verfügt, müssen Sie beide Integrationen konfigurieren: für die Untersuchung und für die Reaktion. Die Reihenfolge spielt dabei keine Rolle.

Die Integrationseinstellungen werden nicht vererbt und nur auf den Administrationsserver (physisch oder virtuell) angewendet, auf dem Sie diese Einstellungen konfigurieren.

Gehen Sie wie folgt vor, um die Integration mit Active Directory für die Reaktion auf Alarme zu konfigurieren:

Klicken Sie im Hauptmenü auf das Einstellungen-Symbol () neben dem Namen des Administrationsservers.
Das Fenster mit den Einstellungen des Administrationsservers wird geöffnet, in welchem die Registerkarte Allgemein ausgewählt ist.
Führen Sie eine der folgenden Aktionen aus:
- Wählen Sie den Abschnitt Verteilungspunkte aus, klicken Sie auf den Namen des gewünschten Verteilungspunkts und wählen Sie anschließend im folgenden Eigenschaftenfenster den Abschnitt Active Directory aus.
- Wählen Sie im Abschnitt Integrationen Active Directory aus.
Aktivieren Sie im rechten Bereich den Umschalter Integration von Active Directory.
Wenn Sie die Integration später deaktivieren möchten, können Sie dies nur für alle Verbindungen tun, indem Sie den Umschalter Integration von Active Directory deaktivieren. Sie können die Integration nicht für eine einzelne Verbindung deaktivieren. Stattdessen können Sie die Verbindung löschen.

Wenn Sie den Umschalter Integration von Active Directory aktivieren oder deaktivieren, wird die Einstellung sowohl für den Abschnitt Integrationen als auch für den Abschnitt Verteilungspunkte übernommen.
Stellen Sie eine Verbindung zum Active Directory-Domänencontroller her, indem Sie auf die Schaltfläche Verbindung hinzufügen klicken.
Passen Sie im nächsten Fenster die folgenden Parameter für die Verbindung an:
- Adresse des Domänencontrollers
  Computername oder IP-Adresse, zum Beispiel: server.meinunternehmen.com. Sie können mehrere Adressen angeben. Alle Domänencontroller, deren Adressen Sie angeben, müssen zu derselben Domäne gehören.
- Name der Active Directory-Domäne
  Vollständig qualifizierter DNS-Domänenname, zum Beispiel: meinunternehmen.com
  
  Verwenden Sie Kleinbuchstaben. Wenn Sie mehrere Verbindungen für den Administrationsserver oder einen Verteilungspunkt erstellen, geben Sie für jede Verbindung einen anderen Namen an.
- Anmelden
  Benutzername des Active Directory-Kontos mit Administratorrechten, unter dem die Reaktionsmaßnahmen ausgeführt werden sollen.
- Kennwort
  Kennwort des Active Directory-Kontos mit Administratorrechten, unter dem die Reaktionsmaßnahmen ausgeführt werden sollen.
Wenn Sie den Verbindungsstatus überprüfen möchten, klicken Sie auf die Schaltfläche Verbindung prüfen.
Wenn die Verbindung erfolgreich hergestellt wurde, wird der Status Verbunden angezeigt. Andernfalls lautet der Status Fehlgeschlagen und es wird eine Fehlermeldung für die Domänencontroller angezeigt, zu denen Sie keine Verbindung herstellen konnten.

Sie müssen berücksichtigen, wie Sie eine Verbindung mit Active Directory herstellen: von einem Linux-Gerät oder von einem Windows-Gerät.
Verbindung von einem Linux-Gerät herstellen

Wenn Sie sich von einem Linux-Gerät aus mit einem Domänencontroller verbinden und sich bei ihm authentifizieren, sieht die Logik standardmäßig wie folgt aus:
1. Der Administrationsserver oder ein Verteilungspunkt versucht, über LDAPS eine Verbindung mit dem Domänencontroller herzustellen.
  Es wird eine strenge Überprüfung des LDAP-Serverzertifikats durchgeführt.
2. Um das Zertifikat zu validieren, legen Sie den öffentlichen Teil des Domänencontroller-Zertifikats im Zertifikatsspeicher des Systems ab.
  Für den Zugriff auf die Zertifikatskette wird der vom Betriebssystem abhängige Pfad zur Zertifizierungsstelle (CA) des Systems verwendet.
  
  Beispielsweise:
  - /etc/ssl/certs/ca-certificates.crt – Pfad für Debian-basierte Betriebssysteme (Debian, Ubuntu, Astra).
  - /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem – Pfad für CentOS oder Red Hat.
3. Wenn die LDAP-Verbindung fehlschlägt, tritt ein Fehler auf und es wird kein anderes Verbindungsprotokoll verwendet.
  Bei Problemen mit LDAP können Sie sich an den Technischen Support von Kaspersky wenden.
Wenn Sie das Zertifikat nicht im Zertifikatsspeicher des Systems installieren möchten, können Sie das Flag KLNAG_LDAP_SSL_CACERT verwenden, um den Pfad zum Domänencontroller-Zertifikat festzulegen. Führen Sie dazu folgenden Befehl aus:

klscflag -fset -pv klnagent -n KLNAG_LDAP_SSL_CACERT -t s -v "</path/to/domain-controller/cert>"

wobei </path/to/domain-controller/cert> der Pfad zum öffentlichen Teil des Domänencontroller-Zertifikats ist.

Wenn der Pfad beispielsweise "/var/opt/kaspersky/ldap_cert.crt" lautet, lautet der Befehl klscflag -fset -pv klnagent -n KLNAG_LDAP_SSL_CACERT -ts -v "/var/opt/kaspersky/ldap_cert.crt"

Verbindung von einem Windows-Gerät herstellen

Wenn Sie sich von einem Windows-Gerät aus mit einem Domänencontroller verbinden und sich bei diesem authentifizieren, werden die Verbindungseinstellungen von der Domäne festgelegt.

Sie müssen nur Folgendes sicherstellen:
- LDAPS ist aktiviert und Port 636 ist auf dem Gerät verfügbar.
- Sie erlauben Verbindungen zum Domänencontroller durch eine Firewall oder einen Proxyserver.
Klicken Sie auf die Schaltfläche Erstellen.

Das Fenster wird geschlossen und die Verbindung wird in der Verbindungstabelle angezeigt.

In der Verbindungstabelle sind folgende Aktionen möglich:

Verbindungsparameter bearbeiten.
Klicken Sie dazu für die gewünschte Verbindung auf den Link mit dem Parameter Adresse des Domänencontrollers. Ändern Sie im neuen Fenster die gewünschten Einstellungen und klicken Sie anschließend auf die Schaltfläche Speichern.

Sie können nur die Parameter Anmelden und Kennwort bearbeiten.
Verbindungen löschen.
Aktivieren Sie dazu das Kontrollkästchen neben der Verbindung, die Sie löschen möchten, klicken Sie auf die Schaltfläche Löschen in der Werkzeugleiste und bestätigen Sie anschließend das Löschen der Verbindung.

Nach oben