Autenticazione e connessione a un controller di dominio

Autenticazione e connessione a un controller di dominio durante il polling di un dominio

Durante il polling di un controller di dominio, Administration Server o un punto di distribuzione identifica il protocollo di connessione per stabilire la connessione iniziale al controller di dominio. Questo protocollo viene utilizzato per tutte le connessioni future al controller di dominio. Quando si stabilisce la connessione iniziale al controller di dominio, è possibile modificare le opzioni di connessione utilizzando il flag Network Agent (KLNAG_LDAP_TLS_REQCERT e KLNAG_LDAP_SSL_CACERT). È possibile configurare i flag Network Agent utilizzando klscflag come descritto in questo articolo.

La connessione iniziale a un controller di dominio procede come segue:

  1. Administration Server o un punto di distribuzione tenta di connettersi al controller di dominio tramite LDAPS.

    Per impostazione predefinita, la verifica del certificato non è richiesta. Impostare il contrassegno KLNAG_LDAP_TLS_REQCERT su 1 per applicare la verifica del certificato.

    Possibili valori del contrassegno KLNAG_LDAP_TLS_REQCERT_AUTH:

    • 0: il certificato viene richiesto, ma se non viene fornito o se la verifica del certificato non è riuscita, la connessione TLS viene considerata ancora creata correttamente (valore predefinito).
    • 1: è richiesta una verifica rigorosa del certificato del server LDAP.

    Per impostazione predefinita, quando il flag KLNAG_LDAP_SSL_CACERT non è specificato, per accedere alla catena di certificati viene utilizzato il percorso dipendente dal sistema operativo dell'autorità di certificazione (CA). Utilizzare il contrassegno KLNAG_LDAP_SSL_CACERT per specificare un percorso personalizzato.

  2. Se la connessione LDAPS non riesce, Administration Server o un punto di distribuzione tenta di connettersi al controller di dominio tramite una connessione TCP non criptata tramite SASL (DIGEST-MD5).

Autenticazione e connessione a un controller di dominio durante l'autenticazione di un utente di dominio ad Administration Server

Quando un utente di dominio si autentica in Administration Server, Administration Server identifica il protocollo per stabilire la connessione al controller di dominio.

La connessione a un controller di dominio procede come segue:

  1. Administration Server tenta di connettersi al controller di dominio tramite LDAPS.

    È richiesta una verifica rigorosa del certificato del server LDAP.

    Per impostazione predefinita, quando il flag KLNAG_LDAP_SSL_CACERT non è specificato, per accedere alla catena di certificati viene utilizzato il percorso dipendente dal sistema operativo dell'autorità di certificazione (CA). Utilizzare il contrassegno KLNAG_LDAP_SSL_CACERT per specificare un percorso personalizzato.

  2. Se la connessione LDAPS non riesce, si verifica un errore di connessione al controller di dominio e gli altri protocolli di connessione non vengono utilizzati.

Configurazione dei contrassegni

È possibile utilizzare l'utilità klscflag per configurare i contrassegni.

Eseguire la riga dei comandi, quindi modificare la directory corrente nella directory con l'utilità klscflag. Nel dispositivo Administration Server, l'utilità klscflag si trova nella directory di installazione. Il percorso di installazione predefinito è /opt/kaspersky/ksc64/sbin.

Ad esempio, il seguente comando impone la verifica del certificato:

klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

Inizio pagina