配置 Kerberos 域身份验证

扩展所有 | 折叠所有

Kaspersky Security Center Linux 允许您通过 Kerberos 协议使用域身份验证。域身份验证可让您在 Kaspersky Security Center Web Console 中启用安全身份验证，而无需在公司网络上重新输入密码（单点登录）。

您必须首先配置域控制器以使用 Kerberos 并生成 keytab 文件。要了解更多信息，请参阅您的域控制器的文档。

Microsoft Active Directory支持SCRIL（交互式登录需要智能卡）。

为 FreeIPA 和 AldPro 生成 keytab 文件

要生成 keytab 文件，请执行以下操作：

1. 创建一个用户账户，供 IAM 用于访问域控制器。
2. 如果管理服务器位于 FreeIPA/AldPro 域之外，请添加 DNS 记录条目和主机条目：

   ipa dnsrecord-add <zoneName> <recordName> --a-rec <管理服务器 IP 地址>

   ipa host-add --password=<密码> <管理服务器主机地址>

3. 为管理服务器创建 HTTP 服务时，请指定 PAC 类型：

   ipa service-add HTTP/<管理服务器主机 FQDN >@<域名（请用大写字母填写） > --ok-to-auth-as-delegate=true --pac-type PAD

4. 指定用于身份验证的用户账户：

   ipa service-allow-retrieve-keytab HTTP/<管理服务器主机地址>@<域名（请用大写字母填写）> --user=<用户名>

5. 导出 keytab 文件：

   ipa-getkeytab -s <域控制器地址> -p HTTP/<管理服务器主机地址>@<域名（请用大写字母填写） > -k /tmp/h.keytab

为 Microsoft Active Directory 生成 keytab 文件

要生成 keytab 文件，请执行以下操作：

1. 创建一个用户账户，供 IAM 用于与域控制器通讯。
2. 为该用户账户启用以下选项：
   • 用户无法更改密码
   • Kerberos AES 256 位加密

   您可以启用密码永不过期选项，以避免每次密码过期时都重新发放 keytab 文件。

3. 为用户账户添加服务主体名称 (SPN)：

   setspn -S HTTP/<管理服务器主机 FQDN > <域名（请用大写字母填写） >\<用户>

4. 导出 keytab 文件：

   ktpass -out C:\<文件夹>\<keytab 文件名> -princ HTTP/<管理服务器主机 FQDN >@<域名（请用大写字母填写）> -mapuser <域名（请用大写字母填写）>\<用户> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <用户密码> -mapop set

为 Samba 生成 keytab 文件

要生成 keytab 文件，请执行以下操作：

1. 创建一个用户账户，供 IAM 用于与域控制器通讯：

   samba-tool user add <用户>

2. 将 SPN 添加到用户账户：

   samba-tool spn add HTTP/<管理服务器主机 FQDN > <用户>

3. 导出 keytab 文件：

   samba-tool domain exportkeytab /tmp/file.keytab --principal=HTTP/<管理服务器主机 FQDN >

启用 Kerberos 域身份验证

要启用 Kerberos 域身份验证：

1. 执行域控制器轮询。
2. 在主菜单中，转到“设置”→“单点登录”。
3. 启用“Kerberos 身份验证”选项。
4. 上传 keytab 文件。
5. 为域用户分配角色，以授予对 Kaspersky Security Center Web Console 的访问权限。

   已为域用户启用 Kerberos 域身份验证。

Page top