Autenticazione e connessione a un controller di dominio

Autenticazione e connessione a un controller di dominio durante il polling di un dominio

Durante il polling di un controller di dominio utilizzando un punto di distribuzione Linux, il punto di distribuzione identifica il protocollo di connessione per stabilire la connessione iniziale al controller di dominio. Questo protocollo viene utilizzato per tutte le connessioni future al controller di dominio. Quando si stabilisce la connessione iniziale al controller di dominio, è possibile modificare le opzioni di connessione utilizzando il flag Network Agent KLNAG_LDAP_TLS_REQCERT e KLNAG_LDAP_SSL_CACERT. È possibile configurare i flag Network Agent utilizzando klscflag come descritto in questo articolo.

La connessione iniziale a un controller di dominio procede come segue:

  1. Un punto di distribuzione tenta di connettersi al controller di dominio tramite LDAPS.

    Per impostazione predefinita, la verifica del certificato non è richiesta. Impostare il contrassegno KLNAG_LDAP_TLS_REQCERT su 1 per applicare la verifica del certificato.

    Possibili valori del contrassegno KLNAG_LDAP_TLS_REQCERT:

    • 0: il certificato viene richiesto, ma se non viene fornito o se la verifica del certificato non è riuscita, la connessione TLS viene considerata ancora creata correttamente (valore predefinito).
    • 1: è richiesta una verifica rigorosa del certificato del server LDAP.

    Per impostazione predefinita, quando il flag KLNAG_LDAP_SSL_CACERT non è specificato, per accedere alla catena di certificati viene utilizzato il percorso dipendente dal sistema operativo dell'autorità di certificazione (CA). Utilizzare il contrassegno KLNAG_LDAP_SSL_CACERT per specificare un percorso personalizzato.

  2. Se la connessione LDAPS non riesce, un punto di distribuzione Linux tenta di connettersi al controller di dominio tramite una connessione TCP non criptata tramite SASL (DIGEST-MD5).

Configurazione dei contrassegni

È possibile utilizzare l'utilità klscflag per configurare i contrassegni.

In un punto di distribuzione Linux, eseguire la riga dei comandi, quindi modificare la directory corrente nella directory con l'utilità klscflag. Per impostazione predefinita, nel punto di distribuzione Linux l'utilità klscflag si trova in /opt/kaspersky/ksc64/sbin.

Ad esempio, il seguente comando impone la verifica del certificato:

klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

Inizio pagina