Опрос контроллеров домена

Развернуть все | Свернуть все

Kaspersky Security Center Linux поддерживает опрос контроллеров домена Microsoft Active Directory и контроллеров домена Samba. Для контроллеров домена Samba, в качестве контроллеров домена Active Directory используется Samba 4.

При опросе контроллера домена Сервер администрирования или точка распространения получают информацию о структуре домена, учетных записях пользователей, группах безопасности и о DNS-именах устройств, входящих в домен.

Рекомендуется использовать опрос контроллеров домена, если все сетевые устройства являются членами домена. Если некоторые из сетевых устройств не включены в домен, эти устройства не могут быть обнаружены с помощью опроса контроллеров домена.

Предварительные требования

Перед опросом контроллеров домена убедитесь, что включены следующие протоколы:

• Simple Authentication and Security Layer (SASL).
• Lightweight Directory Access Protocol (LDAP).

Убедитесь, что на устройстве контроллеров домена доступны следующие порты:

• 389 для SASL.
• 636 для TLS.

Опрос контроллеров домена с помощью Сервера администрирования

Чтобы опросить контроллеры домена с помощью Сервера администрирования:

1. В главном окне программы перейдите в раздел Обнаружение устройств и развертывание → Обнаружение устройств → Контроллеры доменов.
2. Нажмите на кнопку Параметры опроса.

   Откроется окно Параметры опроса контроллеров домена.

3. Выберите параметр Включить опрос контроллеров домена.
4. В разделе Опросить указанные домены нажмите на кнопку Добавить, укажите адрес и учетные данные пользователя контроллеров домена.
5. При необходимости в окне Параметры опроса контроллеров домена укажите расписание опроса. По умолчанию период опроса составляет один час. Данные, полученные при каждом последующем опросе, полностью замещают предыдущие данные.

   Доступны следующие варианты расписания опроса сети:

   • Каждые N дней

     Опрос выполняется регулярно, с заданным интервалом в днях, начиная с указанной даты и времени.

     По умолчанию опрос запускается каждые шесть часов, начиная с текущей системной даты и времени.

   • Каждые N минут

     Опрос выполняется регулярно, с заданным интервалом в минутах, начиная с указанного времени.

   • По дням недели

     Опрос выполняется регулярно, в указанные дни недели, в указанное время.

   • Ежемесячно, в указанные дни выбранных недель

     Опрос выполняется регулярно, в указанные дни каждого месяца, в указанное время.

   • Запускать пропущенные задачи

     Если Сервер администрирования выключен или недоступен в течение времени, на которое запланирован опрос, Сервер администрирования может либо начать опрос сразу после его включения, либо дождаться следующего планового опроса.

     Если этот параметр включен, Сервер администрирования начинает опрос сразу после его включения.

     Если этот параметр выключен, Сервер администрирования ждет следующего планового опроса.

     По умолчанию параметр выключен.

   Если вы измените учетные записи пользователей в группе безопасности домена, эти изменения отобразятся в Kaspersky Security Center Linux через час после опроса контроллеров домена.

6. Нажмите на кнопку Сохранить, чтобы применить изменения.
7. Если требуется запустить опрос сети немедленно, нажмите на кнопку Начать опрос.

Опрос контроллеров домена с помощью точки распространения

Также можно опрашивать контроллеры домена с помощью точки распространения. Управляемое устройство с операционной системой Windows или Linux может выступать в роли точки распространения.

Для точки распространения с операционной системой Linux поддерживается опрос контроллеров домена Microsoft Active Directory и контроллеров домена Samba.
Для точки распространения с операционной системой Windows поддерживается только опрос контроллеров домена Microsoft Active Directory.
Опрос с помощью точки распространения с операционной системой Mac не поддерживается.

Чтобы настроить опрос контроллеров домена с помощью точки распространения:

1. Откройте свойства точки распространения.
2. Выберите раздел Опрос контроллеров домена.
3. Выберите параметр Включить опрос контроллеров домена.
4. Выберите контроллеры домена, которые вы хотите опросить.

   Если вы используете точку распространения с операционной системой Linux, в разделе Опросить указанные домены нажмите на кнопку Добавить, а затем укажите адрес и учетные данные пользователя контроллеров домена.

   Если вы используете точку распространения с операционной системой Windows, можно выбрать один из следующих вариантов:

   • Опросить текущий домен
   • Опросить весь лес доменов
   • Опросить указанные домены
5. Нажмите на кнопку Настроить расписание опроса, чтобы указать параметры расписания опроса при необходимости.

   Опрос запускается в соответствие с расписанием. Запуск опроса вручную недоступен.

После завершения опроса в разделе Контроллеры доменов отобразится структура домена.

Если вы настроили и включили правила перемещения устройств, новые обнаруженные устройства будут автоматически перемещаться в группу Управляемые устройства. Если правила перемещения устройств не включены, новые обнаруженные устройства будут автоматически перемещаться в группу Нераспределенные устройства.

Обнаруженные учетные записи пользователей могут быть использованы для доменной аутентификации в Kaspersky Security Center Web Console.

Аутентификация и подключение к контроллеру домена

При первоначальном подключении к контроллеру домена Сервер администрирования идентифицирует протокол подключения. Этот протокол используется для всех будущих подключений к контроллеру домена.

Первоначальное подключение к контроллеру домена происходит следующим образом:

1. Сервер администрирования пытается подключиться к контроллеру домена по TLS.

   По умолчанию проверка сертификата не требуется. Для флага KLNAG_LDAP_TLS_REQCERT установите значение 1, чтобы принудительно выполнить проверку сертификата.

   По умолчанию для доступа к цепочке сертификатов используется зависящий от операционной системы путь к центру сертификации (CA). Используйте флаг KLNAG_LDAP_SSL_CACERT, чтобы указать другой путь.

2. В случае сбоя TLS-соединения Сервер администрирования пытается подключиться к контроллеру домена по SASL (DIGEST-MD5).
3. В случае сбоя подключения по SASL (DIGEST-MD5) Сервер администрирования использует простую проверку подлинности (Simple Authentication) по незашифрованному TCP-соединению для подключения к контроллеру домена.

Вы можете использовать утилиту klscflag для настройки флагов.

Запустите командную строку и измените текущую директорию на директорию с утилитой klscflag. Утилита klscflag находится в директории, в которой установлен Сервер администрирования. Путь установки по умолчанию: /opt/kaspersky/ksc64/sbin.
Например, следующая команда принудительно проверяет сертификат:

klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

В начало