Настройка доменной аутентификации Kerberos

Развернуть все | Свернуть все

Kaspersky Security Center Linux позволяет использовать доменную аутентификацию по протоколу Kerberos. Доменная аутентификация позволяет вам включить безопасную аутентификацию в Kaspersky Security Center Web Console без повторного ввода пароля в корпоративной сети (единый вход).

Сначала вам нужно настроить контроллер домена для использования Kerberos и создать файл keytab. Подробнее см. документацию к контроллеру домена.

Создание файла keytab для FreeIPA и AldPro

Чтобы создать файл keytab:

  1. Создайте учетную запись, которая будет использоваться IAM для доступа к контроллеру домена.
  2. Если Сервер администрирования находится за пределами домена FreeIPA/AldPro, добавьте запись DNS и запись устройства:

    ipa dnsrecord-add <zoneName> <recordName> --a-rec <IP-адрес Сервера администрирования>

    ipa host-add --password=<пароль> <адрес устройства Сервера администрирования>

  3. Укажите тип PAC при создании сервиса HTTP для Сервера администрирования:

    ipa service-add HTTP/<FQDN устройства Сервера администрирования>@<ДОМЕН, НАПИСАННЫЙ ЗАГЛАВНЫМИ БУКВАМИ> --ok-to-auth-as-delegate=true --pac-type PAD

  4. Укажите учетную запись для аутентификации:

    ipa service-allow-retrieve-keytab HTTP/<адрес устройства Сервера администрирования>@<ДОМЕН, НАПИСАННЫЙ ЗАГЛАВНЫМИ БУКВАМИ> --user=<user>

  5. Экспортируйте файл keytab:

    ipa-getkeytab -s <domain controller address> -p HTTP/<адрес устройства Сервера администрирования>@<ДОМЕН, НАПИСАННЫЙ ЗАГЛАВНЫМИ БУКВАМИ> -k /tmp/h.keytab

Создание файла keytab для Microsoft Active Directory

Чтобы создать файл keytab:

  1. Создайте учетную запись, которая будет использоваться IAM для связи с контроллером домена.
  2. Включите следующие параметры для учетной записи:
    • Запрет изменения пароля пользователем.
    • Kerberos AES 256-разрядное шифрование.

    Вы можете включить параметр Срок действия пароля не ограничен, чтобы избежать повторной выдачи файла keytab каждый раз, когда истекает срок действия пароля.

  3. Добавьте имя субъекта-службы (SPN) в учетную запись:

    spn setspn -A HTTP/<FQDN устройства Сервера администрирования> <ДОМЕН, НАПИСАННЫЙ ЗАГЛАВНЫМИ БУКВАМИ>\<user>

  4. Экспортируйте файл keytab:

    ktpass -out C:\<folder>\<имя файла keytab> -princ HTTP/<FQDN устройства Сервера администрирования>@<ДОМЕН, НАПИСАННЫЙ ЗАГЛАВНЫМИ БУКВАМИ> -mapuser <ДОМЕН, НАПИСАННЫЙ ЗАГЛАВНЫМИ БУКВАМИ>\<пользователь> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <пароль пользователя> -mapop set

Создание файла keytab для Samba

Чтобы создать файл keytab:

  1. Создайте учетную запись, которая будет использоваться IAM для связи с контроллером домена:

    samba-tool user add <пользователь>

  2. Добавьте имя субъекта-службы к учетной записи:

    samba-tool spn add HTTP/<FQDN устройства Сервера администрирования> <пользователь>

  3. Экспортируйте файл keytab:

    samba-tool domain exportkeytab /tmp/file.keytab --principal=HTTP/<FQDN устройства Сервера администрирования>

Включение доменной аутентификации Kerberos

Чтобы включить доменную аутентификацию Kerberos:

  1. Выполните опрос контроллеров домена.
  2. В главном окне приложения перейдите в раздел ПараметрыЕдиный вход.
  3. Включите параметр Аутентификация Kerberos.
  4. Загрузите файл keytab.
  5. Назначьте доменным пользователям роль, которая предоставляет доступ к Kaspersky Security Center Web Console.

    Доменная аутентификация Kerberos включена для доменных пользователей.

В начало