도메인 컨트롤러에 대한 인증 및 연결
도메인 검사 시 도메인 컨트롤러 인증 및 연결
도메인 컨트롤러 검사 시 중앙 관리 서버 또는 배포 지점은 도메인 컨트롤러에 대한 초기 연결을 구성하기 위해 연결 프로토콜을 식별합니다. 이 프로토콜은 도메인 컨트롤러에 대한 모든 향후 연결에 사용됩니다.
도메인 컨트롤러에 대한 초기 연결은 다음과 같이 진행됩니다.
- 중앙 관리 서버 또는 배포 지점은 LDAPS를 통해 도메인 컨트롤러에 연결을 시도합니다.
인증서 확인은 기본적으로 불필요합니다. 인증서를 확인하려면
KLNAG_LDAP_TLS_REQCERT
플래그를 1로 설정합니다.KLNAG_LDAP_TLS_REQCERT_AUTH
플래그의 가능한 값은 다음과 같습니다:0
- 인증서가 요청되지만 제공되지 않거나 인증서 확인에 실패하면 TLS 연결이 여전히 성공적으로 생성된 것으로 간주됩니다(기본값).1
- LDAP 서버 인증서에 대한 엄격한 인증이 필요합니다.
인증 기관(CA)에 대한 OS 종속 경로는 기본적으로 인증서 체인 액세스에 사용됩니다.
사용자 정의 경로를 지정하려면 KLNAG_LDAP_SSL_CACERT 플래그를 사용합니다.
- LDAPS 연결에 실패하면 중앙 관리 서버 또는 배포 지점은 SASL(DIGEST-MD5)을 사용하여 암호화되지 않은 TCP 연결을 통해 도메인 컨트롤러에 연결을 시도합니다.
중앙 관리 서버에 대해 도메인 사용자 인증 시 인증 및 도메인 컨트롤러 연결
도메인 사용자가 중앙 관리 서버에서 인증하면 중앙 관리 서버가 도메인 컨트롤러와의 연결을 설정하기 위한 프로토콜을 식별합니다.
도메인 컨트롤러에 대한 연결은 다음과 같이 진행됩니다.
- 중앙 관리 서버는 LDAPS를 통해 도메인 컨트롤러에 연결을 시도합니다.
인증서 확인은 기본적으로 필요합니다.
KLNAG_LDAP_TLS_REQCERT_AUTH
플래그를 사용하여 인증서 인증을 구성합니다.KLNAG_LDAP_TLS_REQCERT_AUTH
플래그의 가능한 값은 다음과 같습니다:0
- 인증서가 요청되지만 제공되지 않거나 인증서 확인에 실패하면 TLS 연결이 여전히 성공적으로 생성된 것으로 간주됩니다.1
- LDAP 서버 인증서에 대한 엄격한 인증이 필요합니다(기본값).
인증 기관(CA)에 대한 OS 종속 경로는 기본적으로 인증서 체인 액세스에 사용됩니다.
사용자 정의 경로를 지정하려면 KLNAG_LDAP_SSL_CACERT 플래그를 사용합니다.
- LDAPS 연결에 실패하면 도메인 컨트롤러 연결 오류가 발생하고 다른 연결 프로토콜을 사용하지 않습니다.
플래그 구성
klscflag 유틸리티를 사용하여 플래그를 구성할 수 있습니다.
명령줄을 실행한 후 klscflag 유틸리티를 사용하여 현재 디렉터리를 해당 디렉터리로 변경합니다. klscflag 유틸리티는 중앙 관리 서버가 설치된 디렉터리에 있습니다. 기본 설치 경로는 /opt/kaspersky/ksc64/sbin입니다.
예를 들어 다음 명령어는 인증서 인증을 강제 적용합니다.
klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1