Autenticação e conexão com um controlador de domínio ao efetuar a sondagem de um domínio
Ao fazer a sondagem de um controlador de domínio usando um ponto de distribuição Linux, ele identifica o protocolo de conexão para estabelecer a conexão inicial com o controlador de domínio. Esse protocolo é usado para todas as conexões futuras com o controlador de domínio. Ao estabelecer a conexão inicial com o controlador de domínio, você pode alterar as opções de conexão usando os sinalizadores do Agente de Rede KLNAG_LDAP_TLS_REQCERT and KLNAG_LDAP_SSL_CACERT. É possível configurar os sinalizadores do Agente de Rede usando o klscflag, conforme descrito neste artigo.
A conexão inicial com um controlador de domínio prossegue da seguinte forma:
Por padrão, a verificação do certificado não é necessária. Defina o sinalizador KLNAG_LDAP_TLS_REQCERT como 1 para impor a verificação do certificado.
Valores possíveis do sinalizador KLNAG_LDAP_TLS_REQCERT:
0 — O certificado é solicitado, mas se não for fornecido ou se a verificação do certificado falhar, a conexão TLS ainda será considerada criada com êxito (valor padrão).1 — É necessária a verificação estrita do certificado do servidor LDAP.Por padrão, se o sinalizador KLNAG_LDAP_SSL_CACERT não estiver especificado, o caminho dependente do SO usará o caminho padrão para acessar a autoridade de certificação (CA) e a cadeia de certificados. Use o sinalizador KLNAG_LDAP_SSL_CACERT para especificar um caminho personalizado.
Configurar sinalizadores
É possível usar o utilitário klscflag para configurar sinalizadores.
Em um ponto de distribuição Linux, execute a linha de comando e altere seu diretório atual para o diretório com o utilitário klscflag. Por padrão, no ponto de distribuição Linux, o utilitário klscflag está localizado em /opt/kaspersky/ksc64/sbin.
Por exemplo, o seguinte comando impõe a verificação do certificado:
klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1