Kaspersky Security Center Linux 支持轮询 Microsoft Active Directory 域控制器和 Samba 域控制器。对于 Samba 域控制器, Samba 4 用作 Active Directory 域控制器。
当您轮询域控制器时,管理服务器或分发点会检索有关域中包含的设备的域结构、用户账户、安全组和 DNS 名称的信息。
如果所有联网设备都是域的成员,我们建议使用域控制器轮询。如果某些联网设备未包含在域中,则域控制器轮询无法发现这些设备。
服务器在轮询 Microsoft Active Directory 期间会发送 ICMP 回显请求(与 ping 命令相同)。
先决条件
在轮询域控制器之前,请确保启用以下协议:
确保域控制器设备上的以下端口可用:
使用管理服务器进行域控制器轮询
要使用管理服务器轮询域控制器:
域控制器轮询设置窗口将打开。
有以下轮询计划选项可用:
如果您更改域安全组中的用户账户,这些更改将在您轮询域控制器一小时后显示在 Kaspersky Security Center Linux 中。
使用分发点进行域控制器轮询
您还可以使用分发点轮询域控制器。基于 Windows 或 Linux 的受管理设备可以充当分发点。
对于 Linux 分发点,支持对 Microsoft Active Directory 域控制器和 Samba 域控制器进行轮询。
对于 Windows 分发点,仅支持 Microsoft Active Directory 域控制器的轮询。
使用 Mac 分发点进行轮询不受支持。
要使用分发点配置域控制器轮询:
如果您使用 Linux 分发点,请在轮询指定域部分中单击添加 ,然后指定域控制器的地址和用户凭据。
如果您使用 Windows 分发点,则可以选择以下选项之一:
轮询仅根据指定的时间表开始。无法手动启动轮询。
轮询完成后,域结构将显示在域控制器部分。
如果设置并启用了设备移动规则,则新发现的设备将自动包含在“受管理设备”组中。如果未启用移动规则,新发现的设备将自动包含在“未分配的设备”组。
发现的用户账户可用于Kaspersky Security Center Web Console 中的域身份验证。
身份验证和连接到域控制器
与域控制器初始连接时,管理服务器会识别连接协议。该协议用于将来与域控制器的所有连接。
与域控制器的初始连接过程如下:
默认情况下不需要证书验证。将 KLNAG_LDAP_TLS_REQCERT 标志设置为 1 以强制执行证书验证。
默认情况下,使用与操作系统相关的证书颁发机构 (CA) 路径来访问证书链。使用 KLNAG_LDAP_SSL_CACERT 标志指定自定义路径。
您可以使用 klscflag 实用程序来配置标志。
运行命令行,然后将当前目录更改为包含 klscflag 实用程序的目录。klscflag 实用程序位于安装管理服务器的目录中。默认安装路径为/opt/kaspersky/ksc64/sbin。
例如,以下命令可强制执行证书验证:
klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1
页顶