도메인 컨트롤러에 대한 인증 및 연결

도메인 검사 시 도메인 컨트롤러 인증 및 연결

도메인 컨트롤러 검사 시 중앙 관리 서버 또는 배포 지점은 도메인 컨트롤러에 대한 초기 연결을 구성하기 위해 연결 프로토콜을 식별합니다. 이 프로토콜은 도메인 컨트롤러에 대한 모든 향후 연결에 사용됩니다.

도메인 컨트롤러에 대한 초기 연결은 다음과 같이 진행됩니다.

1. 중앙 관리 서버 또는 배포 지점은 LDAPS를 통해 도메인 컨트롤러에 연결을 시도합니다.

   인증서 확인은 기본적으로 불필요합니다. 인증서를 확인하려면 KLNAG_LDAP_TLS_REQCERT 플래그를 1로 설정합니다.

   KLNAG_LDAP_TLS_REQCERT_AUTH 플래그의 가능한 값은 다음과 같습니다:

   • 0 - 인증서가 요청되지만 제공되지 않거나 인증서 확인에 실패하면 TLS 연결이 여전히 성공적으로 생성된 것으로 간주됩니다(기본값).
   • 1 - LDAP 서버 인증서에 대한 엄격한 인증이 필요합니다.

   인증 기관(CA)에 대한 OS 종속 경로는 기본적으로 인증서 체인 액세스에 사용됩니다. 사용자 정의 경로를 지정하려면 KLNAG_LDAP_SSL_CACERT 플래그를 사용합니다.

2. LDAPS 연결에 실패하면 중앙 관리 서버 또는 배포 지점은 SASL(DIGEST-MD5)을 사용하여 암호화되지 않은 TCP 연결을 통해 도메인 컨트롤러에 연결을 시도합니다.

중앙 관리 서버에 대해 도메인 사용자 인증 시 인증 및 도메인 컨트롤러 연결

도메인 사용자가 중앙 관리 서버에서 인증하면 중앙 관리 서버가 도메인 컨트롤러와의 연결을 설정하기 위한 프로토콜을 식별합니다.

도메인 컨트롤러에 대한 연결은 다음과 같이 진행됩니다.

1. 중앙 관리 서버는 LDAPS를 통해 도메인 컨트롤러에 연결을 시도합니다.

   인증서 확인은 기본적으로 필요합니다. KLNAG_LDAP_TLS_REQCERT_AUTH 플래그를 사용하여 인증서 인증을 구성합니다.

   KLNAG_LDAP_TLS_REQCERT_AUTH 플래그의 가능한 값은 다음과 같습니다:

   • 0 - 인증서가 요청되지만 제공되지 않거나 인증서 확인에 실패하면 TLS 연결이 여전히 성공적으로 생성된 것으로 간주됩니다.
   • 1 - LDAP 서버 인증서에 대한 엄격한 인증이 필요합니다(기본값).

   인증 기관(CA)에 대한 OS 종속 경로는 기본적으로 인증서 체인 액세스에 사용됩니다. 사용자 정의 경로를 지정하려면 KLNAG_LDAP_SSL_CACERT 플래그를 사용합니다.

2. LDAPS 연결에 실패하면 도메인 컨트롤러 연결 오류가 발생하고 다른 연결 프로토콜을 사용하지 않습니다.

플래그 구성

klscflag 유틸리티를 사용하여 플래그를 구성할 수 있습니다.

명령줄을 실행한 후 klscflag 유틸리티를 사용하여 현재 디렉터리를 해당 디렉터리로 변경합니다. klscflag 유틸리티는 중앙 관리 서버가 설치된 디렉터리에 있습니다. 기본 설치 경로는 /opt/kaspersky/ksc64/sbin입니다.

예를 들어 다음 명령어는 인증서 인증을 강제 적용합니다.

klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1