Autenticação e conexão com um controlador de domínio

Autenticação e conexão com um controlador de domínio ao efetuar a sondagem de um domínio

Ao efetuar a sondagem de um controlador de domínio, o Servidor de Administração ou um ponto de distribuição identifica o protocolo de conexão para estabelecer a conexão inicial com o controlador de domínio. Esse protocolo é usado para todas as conexões futuras com o controlador de domínio. Ao estabelecer a conexão inicial com o controlador de domínio, você pode alterar as opções de conexão usando os sinalizadores do Agente de Rede (KLNAG_LDAP_TLS_REQCERT and KLNAG_LDAP_SSL_CACERT). Você pode configurar os sinalizadores do Agente de Rede usando o comando klscflag, conforme descrito neste artigo.

A conexão inicial com um controlador de domínio prossegue da seguinte forma:

  1. O Servidor de Administração ou um ponto de distribuição tenta se conectar ao controlador de domínio através do LDAPS.

    Por padrão, a verificação do certificado não é necessária. Defina o sinalizador KLNAG_LDAP_TLS_REQCERT como 1 para impor a verificação do certificado.

    Valores possíveis do sinalizador KLNAG_LDAP_TLS_REQCERT_AUTH:

    • 0 — O certificado é solicitado, mas se não for fornecido ou se a verificação do certificado falhar, a conexão TLS ainda será considerada criada com êxito (valor padrão).
    • 1 — É necessária a verificação estrita do certificado do servidor LDAP.

    Por padrão, se o sinalizador KLNAG_LDAP_SSL_CACERT não estiver especificado, o caminho dependente do SO usará o caminho padrão para acessar a autoridade de certificação (CA) e a cadeia de certificados. Use o sinalizador KLNAG_LDAP_SSL_CACERT para especificar um caminho personalizado.

  2. Se a conexão LDAPS falhar, o Servidor de Administração ou um ponto de distribuição tentará se conectar ao controlador de domínio através de uma conexão TCP não criptografada usando SASL (DIGEST-MD5).

Autenticação e conexão a um controlador de domínio ao autenticar um usuário de domínio no Servidor de Administração

Quando um usuário de domínio se autentica no Servidor de Administração, o Servidor de Administração identifica o protocolo para estabelecer a conexão com o controlador de domínio.

A conexão com um controlador de domínio prossegue da seguinte forma:

  1. O Servidor de Administração tenta se conectar ao controlador de domínio via LDAPS.

    A verificação rigorosa do certificado do servidor LDAP é obrigatória.

    Por padrão, se o sinalizador KLNAG_LDAP_SSL_CACERT não estiver especificado, o caminho dependente do SO usará o caminho padrão para acessar a autoridade de certificação (CA) e a cadeia de certificados. Use o sinalizador KLNAG_LDAP_SSL_CACERT para especificar um caminho personalizado.

  2. Se a conexão LDAPS falhar, ocorrerá um erro ao conectar-se ao controlador de domínio e outros protocolos de conexão não serão usados.

Configurar sinalizadores

É possível usar o utilitário klscflag para configurar sinalizadores.

Execute a linha de comando e, em seguida, altere o diretório atual para o diretório com o utilitário klscflag. No dispositivo do Servidor de Administração, o utilitário klscflag está localizado no diretório de instalação. O caminho de instalação padrão é /opt/kaspersky/ksc64/sbin.

Por exemplo, o seguinte comando impõe a verificação do certificado:

klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

Topo da página