Kerberos-Domänenauthentifizierung konfigurieren

Alle erweitern | Alles ausblenden

Mit Kaspersky Security Center Linux können Sie die Domänenauthentifizierung über das Kerberos-Protokoll verwenden. Die Domänenauthentifizierung erlaubt Ihnen, die sichere Authentifizierung in Kaspersky Security Center Web Console zu aktivieren, ohne das Kennwort im Unternehmensnetzwerk erneut eingeben zu müssen (Single Sign-on).

Sie müssen zunächst Ihren Domänencontroller konfigurieren, um Kerberos zu verwenden und eine keytab-Datei zu erzeugen. Weitere Informationen darüber finden Sie in der Dokumentation Ihres Domänencontrollers.

SCRIL (für interaktive Anmeldung ist eine Smartcard erforderlich) wird für Microsoft Active Directory unterstützt.

Generieren einer keytab-Datei für FreeIPA und AldPro

So generieren Sie eine keytab-Datei :

  1. Erstellen Sie ein Benutzerkonto, das von IAM für den Zugriff auf den Domänencontroller verwendet werden soll.
  2. Wenn sich der Administrationsserver außerhalb der FreeIPA-/AldPro-Domäne befindet, fügen Sie den DNS-Eintrag und den Host-Eintrag hinzu:

    ipa dnsrecord-add <Name der Zone> <Name des Eintrags> --a-rec <IP-Adresse des Administrationsservers>

    ipa host-add --password=<Kennwort> <Adresse des Hosts des Administrationsservers>

  3. Geben Sie den PAC-Typ an, wenn Sie den HTTP-Dienst für den Administrationsserver erstellen:

    ipa service-add HTTP/<FQDN des Hosts des Administrationsservers>@<DOMÄNE IN GROSSBUCHSTABEN> --ok-to-auth-as-delegate=true --pac-type PAD

  4. Geben Sie das Benutzerkonto für die Authentifizierung an:

    ipa service-allow-retrieve-keytab HTTP/<Adresse des Hosts des Administrationsservers>@<DOMÄNE IN GROSSBUCHSTABEN> --user=<Benutzer>

  5. Exportieren Sie die keytab-Datei.

    ipa-getkeytab -s <Adresse des Domänencontrollers> -p HTTP/<Adresse des Hosts des Administrationsservers>@<DOMÄNE IN GROSSBUCHSTABEN> -k /tmp/h.keytab

Generieren einer keytab-Datei für Microsoft Active Directory

So generieren Sie eine keytab-Datei :

  1. Erstellen Sie ein Benutzerkonto, das von IAM für die Kommunikation mit dem Domänencontroller verwendet werden soll.
  2. Aktivieren Sie für das Benutzerkonto die folgenden Optionen:
    • Der Benutzer darf das Kennwort nicht ändern
    • Kerberos AES 256-Bit-Verschlüsselung

    Sie können die Option Kennwort läuft nie ab aktivieren, um das erneute Ausstellen der keytab-Datei nach jedem Ablauf des Kennworts zu vermeiden.

  3. Fügen Sie dem Benutzerkonto ein Service Principal Name (SPN) hinzu:

    setspn -S HTTP/<FQDN des Hosts des Administrationsservers> <DOMÄNE IN GROSSBUCHSTABEN>\<Benutzer>

  4. Exportieren Sie die keytab-Datei.

    ktpass -out C:\<Ordner>\<Name der keytab-Datei> -princ HTTP/<FQDN des Hosts des Administrationsservers>@<DOMÄNE IN GROSSBUCHSTABEN> -mapuser <DOMÄNE IN GROSSBUCHSTABEN>\<user> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <Benutzer Kennwort> -mapop set

Generieren einer keytab-Datei für Samba

So generieren Sie eine keytab-Datei :

  1. Erstellen Sie ein Benutzerkonto, das von IAM für die Kommunikation mit dem Domänencontroller verwendet werden soll:

    samba-tool user add <Benutzer>

  2. Fügen Sie dem Benutzerkonto den SPN hinzu:

    samba-tool spn add HTTP/<FQDN des Hosts des Administrationsservers> <Benutzer>

  3. Exportieren Sie die keytab-Datei.

    samba-tool domain exportkeytab /tmp/file.keytab --principal=HTTP/<FQDN des Hosts des Administrationsservers>

Aktivieren Sie die Kerberos-Domänenauthentifizierung

So aktivieren Sie die Kerberos-Domänenauthentifizierung:

  1. Führen Sie eine Abfrage des Domänencontrollers durch.
  2. Wechseln Sie im Hauptmenü zu Settings → Single sign-on.
  3. Aktivieren Sie die Option Kerberos authentication.
  4. Laden Sie die keytab-Datei hoch.
  5. Weisen Sie Domänenbenutzern eine Rolle zu, die ihnen Zugriff auf die Kaspersky Security Center Web Console ermöglicht.

    Die Kerberos-Domänenauthentifizierung ist für Domänenbenutzer aktiviert.

Nach oben