Configurar la integración con Active Directory para realizar acciones de respuesta

La integración con Active Directory le permite realizar acciones de respuesta para los usuarios de Active Directory afectados o involucrados en la alerta.

Para configurar la integración con Active Directory para responder a las alertas, debe usar el Servidor de administración de Kaspersky Security Center Linux versión 15.4 o una versión posterior.

La integración con Active Directory para responder a las alertas y la configuración para analizar el controlador de dominio de Active Directory (la dirección y las credenciales de usuario del controlador de dominio) que especifica al configurar un sondeo de controlador de dominio son dos configuraciones diferentes. Dado que debe asegurarse de que el usuario para el que se va a realizar una acción de respuesta tenga una cuenta de Active Directory, debe configurar ambas integraciones: para el análisis y para la respuesta. El orden no es importante.

La configuración de integración no se hereda y se aplica solo al Servidor de administración (físico o virtual) en el que se configuran estas opciones.

Para configurar la integración con Active Directory para responder a las alertas:

En el menú principal, haga clic en el ícono de configuración () ubicado junto al nombre del Servidor de administración.
Se abrirá la ventana de propiedades del Servidor de administración, con la pestaña General seleccionada.
Realice una de las siguientes acciones:
- Seleccione la sección Puntos de distribución, haga clic en el nombre del punto de distribución requerido y, a continuación, en la ventana de propiedades que se abre, seleccione la sección Active Directory.
- En la sección Integración, seleccione Active Directory.
En el panel derecho, habilite el botón de alternancia de la Integración con Active Directory.
Más tarde, si desea desactivar la integración, solo puede hacerlo para todas las conexiones deshabilitando el botón de alternancia de la Integración con Active Directory. No se puede desactivar la integración para una conexión diferente. En su lugar, puede eliminar la conexión.

Cuando habilita o deshabilita el botón de alternancia de la Integración con Active Directory, la configuración se aplica tanto a la sección Integraciones como Puntos de distribución.
Cree una conexión con el controlador de dominio de Active Directory haciendo clic en el botón Agregar conexión.
En la ventana que se abrirá, defina los siguientes parámetros para la conexión:
- Dirección del controlador de dominio
  Nombre del equipo o dirección IP, por ejemplo: servidor.miempresa.com. Puede especificar varias direcciones. Todos los controladores de dominio cuyas direcciones especifique deben pertenecer al mismo dominio.
- Nombre de dominio de Active Directory
  Nombre de dominio DNS completo, por ejemplo: miempresa.com
  
  Utilice letras minúsculas. Si crea varias conexiones para el Servidor de administración o un punto de distribución, especifique nombres diferentes para cada conexión.
- Nombre de usuario
  Nombre de usuario de la cuenta de Active Directory con derechos de administrador con la cual se realizarán las acciones de respuesta.
- Contraseña
  Contraseña de la cuenta de Active Directory con derechos de administrador con la cual se realizarán las acciones de respuesta.
Si desea verificar el estado de la conexión, haga clic en el botón Comprobar conexión.
Si la conexión se establece correctamente, se muestra el estado Conectado. De lo contrario, el estado es Error y se muestra un mensaje de error con los controladores de dominio a los que no pudo conectarse.

Debe tener en cuenta la forma en que se conecta a Active Directory: desde un dispositivo Linux o desde un dispositivo Windows.
Conexión desde un dispositivo Linux

Por defecto, al conectarse y realizar la autenticación a un controlador de dominio desde un dispositivo Linux, la lógica es la siguiente:
1. El Servidor de administración o el punto de distribución intentan conectarse al controlador de dominio mediante el protocolo LDAPS.
  Se requiere una verificación estricta del certificado del servidor LDAP.
2. La parte pública del certificado del controlador de dominio se coloca en el repositorio de certificados del sistema para validar el certificado.
  Se usa la ruta de acceso a la autoridad de certificación (CA) del sistema, que depende del sistema operativo, para acceder a la cadena de certificados.
  
  Por ejemplo:
  - /etc/ssl/certs/ca-certificates.crt: ruta para sistemas operativos basados en Debian (Debian, Ubuntu, Astra).
  - /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem: ruta para CentOS o Red Hat.
3. Si la conexión LDAPS falla, se produce un error y no se utiliza ningún otro protocolo de conexión.
  En caso de problemas con LDAPS, puede comunicarse con el Soporte técnico de Kaspersky.
Si no desea instalar el certificado en el repositorio de certificados del sistema, puede usar el indicador KLNAG_LDAP_SSL_CACERT para establecer la ruta al certificado del controlador de dominio. Para hacerlo, ejecute el comando:

klscflag -fset -pv klnagent -n KLNAG_LDAP_SSL_CACERT -t s -v "</path/to/domain-controller/cert>"

donde </path/to/domain-controller/cert> es la ruta a la parte pública del certificado del controlador de dominio.

Por ejemplo, si la ruta es "/var/opt/kaspersky/ldap_cert.crt", el comando es klscflag -fset -pv klnagent -n KLNAG_LDAP_SSL_CACERT -ts -v "/var/opt/kaspersky/ldap_cert.crt"

Conexión desde un dispositivo Windows

Al conectarse y realizar la autenticación a un controlador de dominio desde un dispositivo Windows, la configuración de la conexión la define el dominio.

Solo debe asegurarse de que:
- El LDAPS esté habilitado y el puerto 636 esté disponible en el dispositivo.
- Se permitan las conexiones al controlador de dominio a través de un firewall o un servidor proxy.
Haga clic en el botón Crear.

La ventana se cierra y la conexión se muestra en la tabla de conexiones.

En la tabla de conexiones, puede hacer lo siguiente:

Editar los parámetros de conexión.
Para hacer esto, haga clic en el vínculo con el parámetro Dirección del controlador de dominio para la conexión requerida. En la ventana que se abre, cambie la configuración necesaria y, luego, haga clic en el botón Guardar.

Solo puede editar los parámetros Nombre de usuario y Contraseña.
Eliminar conexiones.
Para hacer esto, seleccione la casilla junto a la conexión que desea eliminar, haga clic en el botón Eliminar en la barra de herramientas y, luego, confirme la eliminación de la conexión.

Principio de la página