Настройка интеграции с Active Directory для выполнения действий по реагированию

Интеграция с Active Directory позволяет выполнять действия по реагированию для пользователей Active Directory, затронутых или вовлеченных в алерт.

Чтобы настроить интеграцию с Active Directory для реагирования на алерты, вам нужно использовать Сервер администрирования Kaspersky Security Center Linux версии 15.4 или выше.

Интеграция с Active Directory для реагирования на алерты и параметры проверки контроллера домена Active Directory (адрес и учетные данные пользователя контроллера домена), который вы указываете при настройке опроса контроллера домена, это два разных параметра. Поскольку вам нужно убедиться, что у пользователя, для которого должно выполняться действие по реагированию, есть учетная запись Active Directory, требуется настроить обе интеграции: для проверки и для реагирования. Порядок не имеет значения.

Параметры интеграции не наследуются, а применяются только к Серверу администрирования (физическому или виртуальному), на котором вы настраиваете эти параметры.

Чтобы настроить интеграцию с Active Directory для реагирования на алерты:

1. В главном меню нажмите на значок параметров () рядом с именем Сервера администрирования.

   Откроется окно свойств Сервера администрирования на вкладке Общие.

2. Выполните одно из следующих действий:
   • Выберите раздел Точки распространения, нажмите на название нужной точки распространения и в открывшемся окне свойств выберите раздел Active Directory.
   • В разделе Интеграции выберите Реагирование через Active Directory.
3. В правой панели включите переключатель Интеграция с Active Directory.

   Если вы захотите позже выключить интеграцию, вы можете сделать это только для всех соединений, выключив переключатель Интеграция с Active Directory. Выключить интеграцию для отдельного соединения невозможно. Вы можете удалить соединение.

   Когда вы включаете или выключаете переключатель Интеграция с Active Directory, этот параметр применяется как для раздела Интеграции и для раздела Точки распространения.

4. Создайте соединение к контроллеру домена Active Directory, нажав на кнопку Добавить кнопку соединение.
5. В открывшемся окне настройте следующие параметры для соединения:
   • Адрес контроллера домена

     Имя компьютера, например: server.mycompany.com. Вы можете указать несколько IP-адресов. Все контроллеры домена, IP-адреса которых вы указываете, должны принадлежать одному домену.

   • Имя домена Active Directory

     SAM-имя или NetBIOS-имя, например: mycompany.

     Используйте строчные буквы. Если вы создаете несколько соединений для Сервера администрирования или точки распространения, укажите разные имена для каждого соединения.

   • Учетная запись

     Войдите в Active Directory под учетной записью с правами администратора, под которой будут выполняться действия по реагированию.

   • Пароль

     Пароль учетной записи Active Directory с правами администратора, под которой будут выполняться действия по реагированию.

6. Если вы хотите проверить статус соединения, нажмите на кнопку Проверить соединение.

   Если соединение установлено, отображается статус Подключено. Иначе отображается статус Сбой и сообщение об ошибке с контроллерами домена, к которым не удалось подключиться.

   Вам нужно учитывать способ подключения к Active Directory: с Linux-устройства или с Windows-устройства.

   Подключение с Linux-устройства

   По умолчанию при подключении и аутентификации к контроллеру домена с Linux-устройства используется следующая логика:

   1. Сервер администрирования или точка распространения пытается подключиться к контроллеру домена через LDAPS.

      Выполняется строгая проверка сертификата LDAP-сервера.

   2. Вы помещаете открытую часть сертификата контроллера домена в хранилище действительных сертификатов системы для проверки сертификата.

      Для доступа к цепочке сертификатов системы используется зависящий от операционной системы путь к центру сертификации (CA).

      Например:

      • /etc/ssl/certs/ca-certificates.crt – путь для операционных систем на основе Debian (Debian, Ubuntu, Astra).
      • /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem – путь для CentOS или Red Hat.
   3. Если не удается выполнить LDAPS-соединение, возникает ошибка и никакой другой протокол соединения использовать невозможно.

      В случае возникновения проблем с LDAPS вы можете обратиться в Службу технической поддержки "Лаборатории Касперского".

   Если вы не хотите устанавливать сертификат в хранилище сертификатов системы, вы можете использовать флаг KLNAG_LDAP_SSL_CACERT, чтобы задать путь к сертификату контроллера домена. Для этого выполните команду:

   klscflag -fset -pv klnagent -n KLNAG_LDAP_SSL_CACERT -t s -v "</path/to/domain-controller/cert>"

   где </path/to/domain-controller/cert> – путь к открытой части сертификата контроллера домена.

   Например, если путь равен "/var/opt/kaspersky/ldap_cert.crt", команда будет иметь вид klscflag -fset -pv klnagent -n KLNAG_LDAP_SSL_CACERT -t s -v "/var/opt/kaspersky/ldap_cert.crt"

   Подключение с Windows-устройства

   При подключении и аутентификации к контроллеру домена с Windows-устройства параметры подключения определяются доменом.

   Вам нужно только убедиться в следующем:

   • LDAPS включен и порт 636 доступен на устройстве.
   • Вы разрешаете подключения к контроллеру домена через сетевой экран или прокси-сервер.
7. Нажмите на кнопку Создать.

Окно закроется и соединение отобразится в списке соединений.

В таблице соединений можно выполнять следующие действия:

• Изменять параметры соединения.

  Для этого перейдите по ссылке с параметром Адрес контроллера домена для нужного соединения. В открывшемся окне измените нужные параметры и нажмите на кнопку Сохранить.

  Вы можете изменить только параметры Учетная запись и Пароль.

• Удалять подключения.

  Для этого установите флажок рядом с тем соединением, которое вы хотите удалить, в панели инструментов нажмите на кнопку Удалить и подтвердите удаление соединения.

В начало