Configuración de la autenticación de dominio Kerberos

Mostrar todo | Ocultar todo

Kaspersky Security Center Linux le permite utilizar la autenticación de dominio mediante el protocolo Kerberos. La autenticación de dominio le permite habilitar la autenticación segura en Kaspersky Security Center Web Console sin tener que volver a ingresar la contraseña en la red corporativa (inicio de sesión único).

Primero debe configurar el controlador de dominio para usar Kerberos y generar un archivo keytab. Para obtener más información, consulte la documentación del controlador de dominio.

SCRIL (se requiere una tarjeta inteligente para el inicio de sesión interactivo) es compatible con Microsoft Active Directory.

Generar un archivo keytab para FreeIPA y AldPro

Para generar un archivo keytab:

  1. Cree una cuenta de usuario para que IAM pueda acceder al controlador de dominio.
  2. Si el Servidor de administración está fuera del dominio FreeIPA/AldPro, agregue la entrada del registro DNS y la entrada del host:

    ipa dnsrecord-add <zoneName> <recordName> --a-rec <dirección del Servidor de administración>

    ipa host-add --password=<contraseña> <dirección del host del Servidor de administración>

  3. Especifique el tipo de PAC al crear el servicio HTTP para el Servidor de administración:

    ipa service-add HTTP/<FQDN del host del Servidor de administración>@<DOMINIO ESCRITO EN MAYÚSCULA> --ok-to-auth-as-delegate=true --pac-type PAD

  4. Especifique la cuenta de usuario para la autenticación:

    ipa service-allow-retrieve-keytab HTTP/<dirección del host del Servidor de administración>@<DOMINIO ESCRITO EN MAYÚSCULAS> --user=<usuario>

  5. Exporte el archivo keytab:

    ipa-getkeytab -s <dirección del controlador de dominio> -p HTTP/<dirección del host del Servidor de administración>@<DOMINIO ESCRITO EN MAYÚSCULAS> -k /tmp/h.keytab

Generar un archivo keytab para Microsoft Active Directory

Para generar un archivo keytab:

  1. Cree una cuenta de usuario para que IAM pueda comunicarse con el controlador de dominio.
  2. Habilite las siguientes opciones para la cuenta de usuario:
    • El usuario no puede cambiar la contraseña
    • Cifrado Kerberos AES de 256 bits

    Puede habilitar la opción La contraseña nunca caduca para evitar volver a emitir el archivo keytab cada vez que caduca la contraseña.

  3. Agregue un nombre principal de servicio (SPN) a la cuenta de usuario:

    setspn -S HTTP/<FQDN del host del Servidor de administración> <DOMINIO ESCRITO EN MAYÚSCULAS>\<usuario>

  4. Exporte el archivo keytab:

    ktpass -out C:\<carpeta>\<nombre del archivo keytab> -princ HTTP/<FQDN del host del Servidor de administración>@<DOMINIO ESCRITO EN MAYÚSCULA> -mapuser <DOMINIO ESCRITO EN MAYÚSCULA>\<usuario> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <contraseña del usuario> -mapop set

Generar un archivo keytab para Samba

Para generar un archivo keytab:

  1. Cree una cuenta de usuario para que IAM pueda comunicarse con el controlador de dominio:

    samba-tool user add <usuario>

  2. Agregue el SPN a la cuenta de usuario:

    samba-tool spn add HTTP/<FQDN del host del Servidor de administración> <usuario>

  3. Exporte el archivo keytab:

    samba-tool domain exportkeytab /tmp/file.keytab --principal=HTTP/<FQDN del host del Servidor de administración>

Habilitar la autenticación de dominio Kerberos

Para habilitar la autenticación de dominio Kerberos:

  1. Realice un sondeo del controlador de dominio.
  2. En el menú principal, vaya a Configuración Inicio de sesión único.
  3. Habilite la opción Autenticación de Kerberos.
  4. Cargue el archivo keytab.
  5. Asigne el rol a los usuarios del dominio que les dé acceso a Kaspersky Security Center Web Console.

    La autenticación de dominio Kerberos está habilitada para usuarios de dominio.

Principio de página