Sondeo del controlador de dominio

Expandir todo | Contraer todo

Kaspersky Security Center Linux admite el sondeo de un controlador de dominio Microsoft Active Directory y un controlador de dominio Samba. Para un controlador de dominio Samba, se utiliza Samba 4 como controlador de dominio Active Directory.

Cuando sondea un controlador de dominio, el Servidor de administración o un punto de distribución recupera información sobre la estructura del dominio, las cuentas de usuario, los grupos de seguridad y los nombres DNS de los dispositivos incluidos en el dominio.

Le recomendamos utilizar el sondeo del controlador de dominio si todos los dispositivos conectados a una red son miembros de un dominio. Si algunos de los dispositivos conectados a una red no están incluidos en el dominio, el sondeo del controlador de dominio no los podrá detectar.

Requisitos previos

Antes de sondear un controlador de dominio, asegúrese de que los siguientes protocolos estén activados:

• Capa de seguridad y autenticación simple (SASL)
• Protocolo ligero de acceso a directorios (LDAP)

Asegúrese de que los siguientes puertos estén disponibles en el dispositivo controlador de dominio:

• 389 para SASL
• 636 para TLS

Sondeo del controlador de dominio mediante el Servidor de administración

Para sondear un controlador de dominio mediante el Servidor de administración, siga estos pasos:

1. En el menú principal, vaya a Detección y despliegue → Detección → Controladores de dominio.
2. Haga clic en Configuración de sondeo.

   Se abre la ventana Configuración de sondeo del controlador de dominio.

3. Seleccione la opción Activar el sondeo de controladores de dominio.
4. En Sondear dominios específicos, haga clic en Añadir, y luego especifique la dirección y las credenciales de usuario del controlador de dominio.
5. Si es necesario, en la ventana Configuración de sondeo del controlador de dominio, especifique la programación de sondeo. La frecuencia de sondeo predeterminada es de una hora. Los datos recibidos en un sondeo reemplazan completamente los datos del sondeo anterior.

   Las siguientes opciones de horarios de sondeo están disponibles:

   • Cada N días

     Se realizará un sondeo en forma periódica, a intervalos regulares, a partir de la fecha y hora indicadas. Cada sondeo estará separado del anterior por el número de días que indique.

     De forma predeterminada, se realizará un sondeo todos los días, a partir de la fecha y hora actuales del sistema.

   • Cada N minutos

     Se realizará un sondeo en forma periódica, a intervalos regulares, a partir de la hora indicada. Cada sondeo estará separado del anterior por el número de minutos que indique.

   • Por días de la semana

     Se realizará un sondeo en forma periódica, a intervalos regulares, en el día de la semana y a la hora que indique.

   • Cada mes, en días concretos de las semanas seleccionadas

     Se realizará un sondeo en forma periódica, a intervalos regulares, en los días del mes y a la hora que indique.

   • Ejecutar tareas no realizadas

     Si el Servidor de administración está apagado o no está disponible durante la hora programada para el sondeo, el Servidor de administración puede iniciar el sondeo inmediatamente después de encenderlo o esperar la próxima vez que se programe el sondeo.

     Si esta opción está habilitada, el Servidor de administración inicia el sondeo inmediatamente después de que se enciende.

     Si esta opción está desactivada, el Servidor de administración espera la próxima vez que se programe el sondeo.

     Esta opción está deshabilitada de manera predeterminada.

   Si cambia las cuentas de usuario en un grupo de seguridad del dominio, estos cambios se mostrarán en Kaspersky Security Center Linux una hora después de sondear el controlador de dominio.

6. Haga clic en Guardar para aplicar los cambios.
7. Si desea realizar el sondeo inmediatamente, haga clic en el botón Iniciar sondeo.

Sondeo del controlador de dominio utilizando un punto de distribución

También puede sondear un controlador de dominio utilizando un punto de distribución. Un dispositivo administrado basado en Windows o Linux puede actuar como punto de distribución.

Para un punto de distribución de Linux, se admite el sondeo de un controlador de dominio Microsoft Active Directory y un controlador de dominio Samba.
Para un punto de distribución de Windows, solo se admite el sondeo de un controlador de dominio Microsoft Active Directory.
No se admite el sondeo con un punto de distribución de Mac.

Para configurar el sondeo del controlador de dominio utilizando el punto de distribución, siga estos pasos:

1. Abra las propiedades del punto de distribución.
2. Seleccione la sección Sondeo del controlador de dominio.
3. Seleccione la opción Activar el sondeo de controladores de dominio.
4. Seleccione el controlador de dominio que desea sondear.

   Si utiliza un punto de distribución de Linux, en la sección Sondear dominios específicos, haga clic en Añadir, y luego especifique la dirección y las credenciales de usuario del controlador de dominio.

   Si utiliza un punto de distribución de Windows, puede seleccionar una de las siguientes opciones:

   • Sondear dominio actual
   • Sondear todo el bosque de dominio
   • Sondear dominios específicos
5. Haga clic en el botón Programar sondeo para especificar las opciones de la programación de sondeo si es necesario.

   El sondeo solo se inicia según la programación especificada. El inicio manual del sondeo no está disponible.

Después de que se complete el sondeo, la estructura del dominio se mostrará en la sección Controladores de dominio.

Si configura y activa reglas de movimiento del dispositivo, los dispositivos recién descubiertos automáticamente se incluyen en el grupo de Dispositivos administrados. Si no se han habilitado reglas de movimiento, los dispositivos recién descubiertos se incluyen automáticamente en el grupo Dispositivos no asignados.

Las cuentas de usuario detectadas se pueden utilizar para la autenticación de dominio en Kaspersky Security Center Web Console.

Autenticación y conexión a un controlador de dominio

En la conexión inicial al controlador de dominio, el Servidor de administración identifica el protocolo de conexión. Este protocolo se usa para todas las conexiones futuras al controlador de dominio.

La conexión inicial a un controlador de dominio procede de la siguiente manera:

1. El Servidor de administración intenta conectarse al controlador de dominio a través de TLS.

   De forma predeterminada, la verificación del certificado no es obligatoria. Establezca el indicador KLNAG_LDAP_TLS_REQCERT en 1 para aplicar la verificación del certificado.

   De forma predeterminada, se usa la ruta de acceso a la autoridad de certificación (CA), que depende del sistema operativo, para acceder a la cadena de certificados. Utilice el indicador KLNAG_LDAP_SSL_CACERT para especificar una ruta personalizada.

2. Si la conexión TLS falla, el Servidor de administración intenta conectarse al controlador de dominio a través de SASL (DIGEST-MD5).
3. Si la conexión SASL (DIGEST-MD5) falla, el Servidor de administración utiliza la autenticación sencilla a través de una conexión TCP no cifrada para conectarse al controlador de dominio.

Puede usar la utilidad klscflag para configurar indicadores.

Ejecute el símbolo del sistema y luego cambie el directorio actual al directorio con la utilidad klscflag. La utilidad klscflag se encuentra en el directorio donde está instalado el Servidor de administración. La ruta de instalación predeterminada es /opt/kaspersky/ksc64/sbin.
Por ejemplo, el siguiente comando fuerza la verificación del certificado:

klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1