Abfrage des Domänencontrollers

Alle erweitern | Alles ausblenden

Kaspersky Security Center Linux unterstützt die Abfrage eines Microsoft Active Directory-Domänencontrollers und eines Samba-Domänencontrollers. Für einen Samba-Domänencontroller wird Samba 4 als Active Directory-Domänencontroller verwendet.

Wenn Sie einen Domänencontroller abfragen, ruft der Administrationsserver oder ein Verteilungspunkt Informationen über die Domänenstruktur, Benutzerkonten, Sicherheitsgruppen und DNS-Namen jener Geräte ab, die zur Domäne gehören.

Es wird empfohlen, die Abfrage von Domänencontrollern zu verwenden, wenn alle Geräte im Netzwerk Mitglieder einer Domäne sind. Wenn einige der vernetzten Geräte nicht in der Domäne enthalten sind, können diese Geräte mit der Abfrage des Domänencontrollers nicht gefunden werden.

Erforderliche Vorrausetzungen

Stellen Sie vor der Abfrage eines Domänencontrollers sicher, dass die folgenden Protokolle aktiviert sind:

• Simple Authentication and Security Layer (SASL)
• Lightweight Directory Access Protocol (LDAP)

Stellen Sie sicher, dass die folgenden Ports auf dem Gerät des Domänencontrollers verfügbar sind:

• 389 für SASL
• 636 für TLS

Abfrage des Domänencontrollers mithilfe des Administrationsservers

So fragen Sie einen Domänencontroller mithilfe des Administrationsservers ab:

1. Wechseln Sie im Hauptmenü zu Gerätesuche und Bereitstellung → Gerätesuche → Active Directory.
2. Klicken Sie auf Abfrage-Einstellungen.

   Das Fenster Einstellungen für die Abfrage des Domänencontrollers wird geöffnet.

3. Wählen Sie die Option Abfrage des Domänencontrollers aktivieren aus.
4. Klicken Sie unter Angegebene Domänen abfragen auf Hinzufügen und geben Sie anschließend die Adresse und die Anmeldeinformationen des Domänencontrollers an.
5. Geben Sie bei Bedarf im Fenster Einstellungen für die Abfrage des Domänencontrollers den Abfragezeitplan an. Das Standardabfrageintervall beträgt eine Stunde. Die alten Daten werden durch die bei der nächsten Abfrage empfangenen Daten vollständig ersetzt.

   Folgende Varianten sind als Intervall verfügbar:

   • Alle n Tage

     Die Abfrage wird ab dem angegebenen Datum und der Uhrzeit regelmäßig im angegebenen Intervall in Tagen ausgeführt.

     Standardmäßig wird die Abfrage ab aktuellem Systemdatum und -uhrzeit täglich ausgeführt.

   • Alle n Minuten

     Die Abfrage wird ab der angegebenen Uhrzeit regelmäßig im angegebenen Intervall in Minuten ausgeführt.

   • Nach Wochentagen

     Die Abfrage wird regelmäßig an den festgelegten Wochentagen und zur festgelegten Uhrzeit ausgeführt.

   • Monatlich, an angegebenen Tagen der gewählten Wochen

     Die Abfrage wird regelmäßig an den festgelegten Tagen des Monats und zur festgelegten Uhrzeit ausgeführt.

   • Übersprungene Aufgaben starten

     Wenn der Administrationsserver während der für die Abfrage geplanten Zeit abgeschaltet oder nicht verfügbar ist, kann der Administrationsserver die Abfrage entweder sofort nachdem er eingeschaltet wurde starten, oder auf die nächste planmäßige Durchführung warten.

     Wenn diese Option aktiviert ist, startet der Administrationsserver die Abfrage sofort nachdem er eingeschaltet wurde.

     Wenn diese Option deaktiviert ist, wartet der Administrationsserver auf den nächsten Zeitpunkt, für den die Abfrage geplant ist.

     Diese Option ist standardmäßig deaktiviert.

   Wenn Sie Benutzerkonten in einer Sicherheitsgruppe der Domäne ändern, werden diese Änderungen eine Stunde nach Ihrer Abfrage des Domänencontrollers in Kaspersky Security Center Linux angezeigt.

6. Klicken Sie auf Speichern, um die Änderungen zu übernehmen.
7. Wenn Sie die Abfrage sofort durchführen möchten, klicken Sie auf die Schaltfläche Abfrage starten.

Abfrage des Domänencontrollers mithilfe eines Verteilungspunkts

Sie können einen Domänencontroller auch mithilfe eines Verteilungspunkts abfragen. Als Verteilungspunkt kann ein verwaltetes Windows- oder Linux-Gerät fungieren.

Für einen Linux-Verteilungspunkt wird die Abfrage eines Microsoft Active Directory-Domänencontrollers und eines Samba-Domänencontrollers unterstützt.
Für einen Windows-Verteilungspunkt wird nur die Abfrage eines Microsoft Active Directory-Domänencontrollers unterstützt.
Die Abfrage mit einem Mac-Verteilungspunkt wird nicht unterstützt.

So konfigurieren Sie die Abfrage von Domänencontrollern mithilfe des Verteilungspunkts:

1. Öffnen Sie die Eigenschaften des Verteilungspunkts.
2. Wählen Sie den Abschnitt Abfrage des Domänencontrollers aus.
3. Wählen Sie die Option Abfrage des Domänencontrollers aktivieren aus.
4. Wählen Sie den Domänencontroller aus, den Sie abfragen möchten.

   Wenn Sie einen Linux-Verteilungspunkt verwenden, klicken Sie im Abschnitt Angegebene Domänen abfragen auf Hinzufügen und geben Sie anschließend die Adresse und die Anmeldeinformationen des Domänencontrollers an.

   Wenn Sie einen Windows-Verteilungspunkt verwenden, können Sie eine der folgenden Optionen auswählen:

   • Aktuelle Domäne abfragen
   • Domänengesamtstruktur abfragen
   • Angegebene Domänen abfragen
5. Klicken Sie auf die Schaltfläche Abfragezeitplan festlegen, um bei Bedarf die Einstellungen des Abfragezeitplans festzulegen.

   Die Abfrage wird nur entsprechend dem festgelegten Zeitplan gestartet. Das manuelle Starten der Abfrage ist nicht möglich.

Nach Abschluss der Abfrage wird die Domänenstruktur im Abschnitt Active Directory angezeigt.

Wenn Sie Verschiebungsregeln für Geräte eingerichtet und aktiviert haben, werden die kürzlich gefundenen Geräte automatisch in die Gruppe Verwaltete Geräte aufgenommen. Wenn keine Verschiebungsregeln aktiviert sind, werden die kürzlich gefundenen Geräte automatisch in die Gruppe Nicht zugeordnete Geräte aufgenommen.

Die gefundenen Benutzerkonten können für die Domänenauthentifizierung in Kaspersky Security Center Web Console verwendet werden.

Authentifizierung und Verbindung mit einem Domänencontroller

Bei der erstmaligen Verbindung mit dem Domänencontroller identifiziert der Administrationsserver das Verbindungsprotokoll. Dieses Protokoll wird für alle zukünftigen Verbindungen zum Domänencontroller verwendet.

Die erstmalige Verbindung mit einem Domänencontroller erfolgt folgendermaßen:

1. Der Administrationsserver versucht, über TLS eine Verbindung zum Domänencontroller herzustellen.

   Standardmäßig ist keine Überprüfung des Zertifikats notwendig. Um die Überprüfung des Zertifikats zu erzwingen, setzen Sie den Parameter "KLNAG_LDAP_TLS_REQCERT" auf 1.

   Standardmäßig wird für den Zugriff auf die Zertifikatskette der vom Betriebssystem abhängige Pfad zur Zertifizierungsstelle (CA) verwendet. Um einen benutzerdefinierten Pfad anzugeben, verwenden Sie den Parameter "KLNAG_LDAP_SSL_CACERT".

2. Wenn die TLS-Verbindung fehlschlägt, versucht der Administrationsserver, über SASL (DIGEST-MD5) eine Verbindung zum Domänencontroller herzustellen.
3. Wenn die SASL-Verbindung (DIGEST-MD5) fehlschlägt, verwendet der Administrationsserver Simple Authentication über eine unverschlüsselte TCP-Verbindung, um eine Verbindung mit dem Domänencontroller herzustellen.

Sie können das Tool "klscflag" verwenden, um die Parameter zu konfigurieren.

Öffnen Sie die Befehlszeile und wechseln Sie anschließend in das Verzeichnis mit dem Tool "klscflag". Das Tool "klscflag" befindet sich in dem Verzeichnis, in dem der Administrationsserver installiert ist. Der Standardinstallationspfad lautet "/opt/kaspersky/ksc64/sbin".
Der folgende beispielhafte Befehl erzwingt die Überprüfung des Zertifikats:

klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1