Authentification et connexion au contrôleur de domaine

Authentification et connexion au contrôleur de domaine lors du sondage du domaine

Lors du sondage d'un contrôleur de domaine à l'aide d'un point de distribution Linux, le point de distribution identifie le protocole de connexion pour établir la connexion initiale avec le contrôleur de domaine. Ce protocole sera utilisé pour toutes les connexions futures au contrôleur de domaine. Lors de la connexion initiale avec le contrôleur de domaine, vous pouvez modifier les options de connexion à l'aide des indicateurs de l'Agent d'administration KLNAG_LDAP_TLS_REQCERT et KLNAG_LDAP_SSL_CACERT. Vous pouvez configurer les indicateurs de l'Agent d'administration à l'aide de klscflag comme décrit dans cet article.

La connexion initiale à un contrôleur de domaine se déroule comme suit :

  1. Un point de distribution Linux tente de se connecter au contrôleur de domaine via LDAPS.

    Par défaut, la vérification du certificat n'est pas requise. Définissez l'indicateur KLNAG_LDAP_TLS_REQCERT sur 1 pour appliquer la vérification du certificat.

    Valeurs possibles du paramètre KLNAG_LDAP_TLS_REQCERT :

    • 0 : le certificat est demandé, mais s'il n'est pas fourni ou si la vérification du certificat a échoué, la connexion TLS est toujours considérée comme créée avec succès (valeur par défaut).
    • 1 : une vérification stricte du certificat du serveur LDAP est requise.

    Par défaut, lorsque l'indicateur KLNAG_LDAP_SSL_CACERT n'est pas défini, le chemin d'accès à l'autorité de certification (CA) dépendant du système d'exploitation permet d'accéder à la chaîne de certification. Utilisez l'indicateur KLNAG_LDAP_SSL_CACERT pour spécifier un chemin d'accès personnalisé.

  2. Si la connexion LDAPS échoue, un point de distribution Linux tente de se connecter au contrôleur de domaine via une connexion TCP non chiffrée en utilisant SASL (DIGEST-MD5).

Configuration des indicateurs

Vous pouvez utiliser l'utilitaire klscflag pour configurer les indicateurs.

Sur un point de distribution Linux, exécutez la ligne de commande, puis remplacez votre répertoire actuel par celui contenant l'utilitaire klscflag. Par défaut, sur le point de distribution Linux, l'utilitaire klscflag se trouve dans /opt/kaspersky/ksc64/sbin.

Par exemple, la commande suivante applique la vérification du certificat :

klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

Haut de page