Authentification et connexion au contrôleur de domaine
Authentification et connexion au contrôleur de domaine lors de l'analyse du domaine
Lors de l'analyse d'un contrôleur de domaine, le Serveur d'administration ou un point de distribution identifie le protocole de connexion pour établir la connexion initiale avec le contrôleur de domaine. Ce protocole sera utilisé pour toutes les connexions futures au contrôleur de domaine.
La connexion initiale à un contrôleur de domaine se déroule comme suit :
- Le Serveur d'administration ou un point de distribution tente de se connecter au contrôleur de domaine via LDAPS.
Par défaut, la vérification du certificat n'est pas requise. Définissez l'indicateur
KLNAG_LDAP_TLS_REQCERTsur 1 pour appliquer la vérification du certificat.Valeurs possibles de l'indicateur
KLNAG_LDAP_TLS_REQCERT_AUTH:0: le certificat est demandé, mais s'il n'est pas fourni ou si la vérification du certificat a échoué, la connexion TLS est toujours considérée comme créée avec succès (valeur par défaut).1: une vérification stricte du certificat du serveur LDAP est requise.
Par défaut, le chemin d'accès à l'autorité de certification (CA) dépendant du système d'exploitation permet d'accéder à la chaîne de certification. Utilisez l'indicateur
KLNAG_LDAP_SSL_CACERTpour spécifier un chemin d'accès personnalisé. - Si la connexion LDAPS échoue, le Serveur d'administration ou un point de distribution tente de se connecter au contrôleur de domaine via une connexion TCP non chiffrée en utilisant SASL (DIGEST-MD5).
Authentification et connexion au contrôleur de domaine lors de l'authentification d'un utilisateur du domaine auprès du Serveur d'administration
Quand un utilisateur du domaine s'authentifie sur le Serveur d'administration, le Serveur d'administration identifie le protocole pour établir la connexion avec le contrôleur de domaine.
La connexion à un contrôleur de domaine se déroule comme suit :
- Le Serveur d'administration tente de se connecter au contrôleur de domaine via LDAPS.
Par défaut, la vérification du certificat est requise. Utilisez l'indicateur
KLNAG_LDAP_TLS_REQCERT_AUTHpour configurer la vérification des certificats.Valeurs possibles de l'indicateur
KLNAG_LDAP_TLS_REQCERT_AUTH:0: le certificat est demandé, mais s'il n'est pas fourni ou si la vérification du certificat a échoué, la connexion TLS est toujours considérée comme créée avec succès.1: une vérification stricte du certificat du serveur LDAP est requise (valeur par défaut).
Par défaut, le chemin d'accès à l'autorité de certification (CA) dépendant du système d'exploitation permet d'accéder à la chaîne de certification. Utilisez l'indicateur
KLNAG_LDAP_SSL_CACERTpour spécifier un chemin d'accès personnalisé. - Si la connexion LDAPS échoue, une erreur de connexion au contrôleur de domaine se produit, et les autres protocoles de connexion ne sont pas utilisés.
Configuration des indicateurs
Vous pouvez utiliser l'utilitaire klscflag pour configurer les indicateurs.
Exécutez la ligne de commande, puis remplacez votre répertoire actuel par celui contenant l'utilitaire klscflag. L'utilitaire klsclag se trouve dans le répertoire dans lequel le Serveur d'administration est installé. Le chemin d'installation par défaut est /opt/kaspersky/ksc64/sbin.
Par exemple, la commande suivante applique la vérification du certificat :
klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1