レスポンス処理を実行するための Active Directory との連携の設定

Active Directory との連携により、アラートに影響を受けた、または関与した Active Directory ユーザーに対してレスポンス処理を実行できます。

アラートに応答するために Active Directory との連携を設定するには、Kaspersky Security Center Linux 管理サーバーバージョン 15.4 以降を使用する必要があります。

アラートに応答するための Active Directory との連携と、ドメインコントローラポーリングの設定時に指定する Active Directory ドメインコントローラーをスキャンするための設定（ドメインコントローラーのアドレスとユーザー資格情報）は、2 つの異なる設定です。レスポンス処理を実行するユーザーが Active Directory アカウントを持っていることを確認する必要があるため、スキャン用と応答用の両方の連携を設定する必要があります。順序は重要ではありません。

統合設定は継承されず、これらの設定を構成する管理サーバー（物理または仮想）にのみ適用されます。

アラートに応答するために Active Directory との統合を設定するには：

1. メインメニューで、管理サーバーの名前の横にある設定アイコン（）をクリックします。

   管理サーバーのプロパティウィンドウの［全般］タブが表示されます。

2. 次のいずれかの手順を実行します：
   • ［ディストリビューションポイント］セクションを選択し、必要なディストリビューションポイントの名前をクリックして、開いたプロパティウィンドウで［Active Directory］セクションを選択します。
   • ［連携］セクションで［Active Directory 応答］を選択します。
3. 右側のペインで、［Active Directory 連携］スイッチをオンにします。

   後で統合をオフにしたい場合は、［Active Directory 連携］スイッチをオフにすることによってのみ、すべての接続に対して統合をオフにすることができます。個別の接続の統合をオフにすることはできません。代わりに、接続を削除することもできます。

   ［Active Directory 連携］スイッチを有オンまたはオフにすると、その設定は［統合セクション］と［ディストリビューションポイント］セクションの両方に適用されます。

4. ［接続の追加］をクリックして、Active Directory ドメインコントローラーへの接続を作成します。
5. 表示されたウィンドウで、接続のための以下のパラメータを指定します：
   • ドメインコントローラーのアドレス

     コンピューター名（例：server.mycompany.com）を指定します。複数のアドレスを指定できます。指定するアドレスを持つすべてのドメインコントローラーは同じドメインに属している必要があります。

   • Active Directory ドメイン名

     SAM または NetBIOS 名。例： mycompany

     小文字を使用してください。管理サーバーまたはディストリビューションポイントに複数の接続を作成する場合は、接続ごとに異なる名前を指定します。

   • ログイン

     レスポンス処理を実行する管理者権限を持つ Active Directory アカウントのログイン。

   • パスワード

     レスポンス処理を実行する管理者権限を持つ Active Directory アカウントのパスワード。

6. 接続状態を確認するには、［接続を確認］をクリックします。

   接続が正常に確立されると、［接続済み］ステータスが表示されます。それ以外の場合、ステータスは［失敗］となり、接続に失敗したドメインコントローラーを示すエラーメッセージが表示されます。

   Active Directory に接続する方法（Linux デバイスから接続するか、Windows デバイスから接続するか）を考慮する必要があります。

   Linux デバイスからの接続

   既定では、Linux デバイスからドメインコントローラーに接続して認証する場合のロジックは次のようになります：

   1. 管理サーバーまたはディストリビューションポイントは、LDAPS 経由でドメインコントローラーに接続しようとします。

      LDAP サーバー証明書の強力な検証が実行されます。

   2. 証明書を検証するには、ドメインコントローラー証明書の公開部分をシステム証明書リポジトリに配置します。

      システム認証局（CA）への OS 依存パスは、証明書チェーンへのアクセスに使用されます。

      例：

      • /etc/ssl/certs/ca-certificates.crt – Debian ベースのオペレーティングシステム（Debian、Ubuntu、Astra）のパス。
      • /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem – CentOS または Red Hat のパス。
   3. LDAPS 接続が失敗するとエラーが発生し、他の接続プロトコルは使用されません。

      LDAPS に関する問題がある場合は、カスペルスキーテクニカルサポートにお問い合わせください。

   証明書をシステム証明書リポジトリにインストールしたくない場合は、KLNAG_LDAP_SSL_CACERT フラグを使用してドメインコントローラー証明書へのパスを設定できます。これを実行するには、次のコマンドを実行します：

   klscflag -fset -pv klnagent -n KLNAG_LDAP_SSL_CACERT -t s -v "</path/to/domain-controller/cert>"

   ここで、</path/to/domain-controller/cert> は、ドメインコントローラー証明書の公開部分へのパスです。

   たとえば、パスが "/var/opt/kaspersky/ldap_cert.crt" の場合、コマンドは klscflag -fset -pv klnagent -n KLNAG_LDAP_SSL_CACERT -t s -v "/var/opt/kaspersky/ldap_cert.crt" となります。

   Windows デバイスからの接続

   Windows デバイスからドメインコントローラーに接続して認証する場合、接続設定はドメインによって定義されます。

   次の点だけ確認する必要があります：

   • LDAPS が有効になっており、デバイスでポート 636 が使用可能です。
   • ファイアウォールまたはプロキシサーバー経由でドメインコントローラーへの接続を許可します。
7. ［作成］をクリックします。

ウィンドウが閉じられ、接続が接続テーブルに表示されます。

接続テーブルで次の操作を実行できます：

• 接続パラメータを編集します。

  これを行うには、必要な接続の［ドメインコントローラーのアドレス］パラメータを含むリンクをクリックします。開いたウィンドウで必要な設定を変更し、［保存］をクリックします。

  ［ログイン］と［パスワード］パラメータのみ編集できます。

• 接続を削除します。

  これを行うには、削除する接続に隣接するチェックボックスをオンにし、ツールバーの［削除］をクリックして接続の削除を確定します。

ページのトップに戻る