Configuración de la autenticación del dominio Kerberos

Expandir todo | Contraer todo

Kaspersky Security Center Linux le permite utilizar la autenticación del dominio mediante el protocolo Kerberos. La autenticación de dominio le permite activar la autenticación segura en Kaspersky Security Center Web Console sin tener que volver a introducir la contraseña en la red corporativa (inicio de sesión único).

Primero debe configurar el controlador del dominio para usar Kerberos y generar un archivo keytab. Para obtener más información, consulte la documentación del controlador del dominio.

SCRIL (se requiere una tarjeta inteligente para el inicio de sesión interactivo) es compatible con Microsoft Active Directory.

Generar un archivo keytab para FreeIPA y AldPro

Para generar un archivo keytab:

  1. Cree una cuenta de usuario que IAM utilizará para acceder al controlador de dominio.
  2. Si el Servidor de administración está fuera del dominio de FreeIPA/AldPro, añada la entrada del registro DNS y la entrada del host:

    ipa dnsrecord-add <zoneName> <recordName> --a-rec <dirección IP del Servidor de administración>

    ipa host-add --password=<contraseña> <dirección del host del Servidor de administración>

  3. Especifique el tipo de PAC al crear el servicio HTTP para el Servidor de administración:

    ipa service-add HTTP/<FQDN del host del Servidor de administración>@<DOMINIO ESCRITO EN MAYÚSCULAS> --ok-to-auth-as-delegate=true --pac-type PAD

  4. Especifique la cuenta de usuario para la autenticación:

    ipa service-allow-retrieve-keytab HTTP/<dirección del host del Servidor de administración>@<DOMINIO ESCRITO EN MAYÚSCULAS> --user=<user>

  5. Exporte el archivo keytab:

    ipa-getkeytab -s <dirección del controlador de dominio> -p HTTP/<Administration Server host address>@<DOMINIO ESCRITO EN MAYÚSCULAS> -k /tmp/h.keytab

Generar un archivo keytab para Microsoft Active Directory

Para generar un archivo keytab:

  1. Cree una cuenta de usuario que IAM utilizará para comunicarse con el controlador de dominio.
  2. Active las siguientes opciones para la cuenta de usuario:
    • El usuario no puede cambiar la contraseña
    • Cifrado Kerberos AES de 256 bits

    Puede activar la opción La contraseña nunca caduca para evitar volver a emitir el archivo keytab cada vez que caduque la contraseña.

  3. Añada un nombre principal de servicio (SPN) a la cuenta de usuario:

    setspn -S HTTP/<FQDN del host del Servidor de administración> <DOMINIO ESCRITO EN MAYÚSCULAS>\<usuario>

  4. Exporte el archivo keytab:

    ktpass -out C:\<carpeta>\<nombre del archivo keytab> -princ HTTP/<FQDN del host del Servidor de administración>@<DOMINIO ESCRITO EN MAYÚSCULAS> -mapuser <DOMINIO ESCRITO EN MAYÚSCULAS>\<usuario> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <contraseña del usuario> -mapop set

Generar un archivo keytab para Samba

Para generar un archivo keytab:

  1. Cree una cuenta de usuario para que IAM la use para comunicarse con el controlador de dominio:

    samba-tool user add <usuario>

  2. Añada el SPN a la cuenta de usuario:

    samba-tool spn add HTTP/<FQDN del host del Servidor de administración> <usuario>

  3. Exporte el archivo keytab:

    samba-tool domain exportkeytab /tmp/file.keytab --principal=HTTP/<FQDN del host del Servidor de administración>

Activar la autenticación del dominio Kerberos

Para activar la autenticación del dominio Kerberos:

  1. Realice un sondeo del controlador de dominio.
  2. En el menú principal, vaya a ConfiguraciónInicio de sesión único.
  3. Active la opción de Autenticación Kerberos.
  4. Cargue el archivo keytab.
  5. Asigne una función a los usuarios del dominio que dé acceso a Kaspersky Security Center Web Console.

    La autenticación del dominio Kerberos está activada para usuarios de dominio.

Principio de página