Konfigurowanie integracji z usługą Active Directory w celu wykonywania działań reagowania

Integracja z usługą Active Directory umożliwia wykonywanie działań reagowania dla użytkowników usługi Active Directory objętych alertem lub w niego zaangażowanych.

Aby skonfigurować integrację z usługą Active Directory w celu reagowania na alerty, należy używać Serwera administracyjnego Kaspersky Security Center Linux w wersji 15.4 lub nowszej.

Integracja z usługą Active Directory w celu reagowania na alerty oraz ustawienia skanowania kontrolera domeny usługi Active Directory (adres i poświadczenia użytkownika kontrolera domeny) określone podczas konfigurowania przeszukiwania kontrolera domeny to dwa różne ustawienia. Ponieważ musisz mieć pewność, że użytkownik, dla którego ma zostać wykonane działanie reagowania, ma konto w usłudze Active Directory, musisz skonfigurować obie integracje: dla skanowania i dla reagowania. Kolejność nie ma znaczenia.

Ustawienia integracji nie są dziedziczone i mają zastosowanie wyłącznie do Serwera administracyjnego (fizycznego lub wirtualnego), na którym konfigurujesz te ustawienia.

Aby skonfigurować integrację z usługą Active Directory w celu reagowania na alerty:

W menu głównym kliknij ikonę ustawienia () obok nazwy Serwera administracyjnego.
Okno właściwości Serwera administracyjnego zostanie otwarte na zakładce Ogólne.
Wykonaj jedną z poniższych czynności:
- Wybierz sekcję Punkty dystrybucji, kliknij nazwę wymaganego punktu dystrybucji, a następnie w otwartym oknie właściwości wybierz sekcję Active Directory.
- W sekcji Integracje, wybierz Odpowiedź Active Directory.
W prawym panelu włącz przełącznik Integracja Active Directory.
Jeśli później zechcesz wyłączyć integrację, będziesz mógł to zrobić jedynie dla wszystkich połączeń, dezaktywując przełącznik Integracja Active Directory. Nie można wyłączyć integracji dla oddzielnego połączenia. Zamiast tego można usunąć połączenie.

Po włączeniu lub wyłączeniu przełącznika Integracja Active Directory ustawienie to zostanie zastosowane zarówno do sekcji Integracje, jak i do sekcji Punkty dystrybucji.
Utwórz połączenie z kontrolerem domeny Active Directory, klikając przycisk Dodaj połączenie.
W otwartym oknie określ następujące parametry dla połączenia:
- Adres sterownika domeny
  Nazwa komputera, na przykład: server.mycompany.com. Możesz podać kilka adresów. Wszystkie kontrolery domeny, których adresy podasz, muszą należeć do tej samej domeny.
- Nazwa domeny Active Directory
  Nazwa SAM lub NetBIOS, na przykład: mycompany
  
  Używaj małych liter. Jeżeli tworzysz kilka połączeń dla Serwera administracyjnego lub punktu dystrybucji, podaj inną nazwę dla każdego połączenia.
- Login
  Zaloguj się na konto Active Directory z uprawnieniami administratora, na podstawie których mają zostać wykonane działania reagowania.
- Hasło
  Hasło konta Active Directory z uprawnieniami administratora, na podstawie którego mają zostać wykonane działania reagowania.
Jeśli chcesz sprawdzić stan połączenia, kliknij przycisk Sprawdź połączenie.
Jeżeli połączenie zostanie nawiązane pomyślnie, zostanie wyświetlony status Połączono. W przeciwnym wypadku status będzie ustawiony na Niepowodzenie i zostanie wyświetlony komunikat o błędzie z nazwami kontrolerów domeny, z którymi nie udało się nawiązać połączenia.

Należy wziąć pod uwagę sposób łączenia się z usługą Active Directory: z urządzenia z systemem Linux czy z urządzenia z systemem Windows.
Łączenie się z urządzenia z systemem Linux

Domyślnie podczas łączenia się z kontrolerem domeny i uwierzytelniania go z poziomu urządzenia Linux logika jest następująca:
1. Serwer administracyjny lub punkt dystrybucji próbuje połączyć się z kontrolerem domeny poprzez protokół LDAPS.
  Wymagana jest silna weryfikacja certyfikatu serwera LDAP.
2. Aby zweryfikować certyfikat, umieszczasz publiczną część certyfikatu kontrolera domeny w repozytorium certyfikatów systemu.
  Aby uzyskać dostęp do łańcucha certyfikatów, używana jest ścieżka zależna od systemu operacyjnego do urzędu certyfikacji (CA).
  
  Na przykład:
  - /etc/ssl/certs/ca-certificates.crt — Ścieżka dla systemów operacyjnych opartych na Debianie (Debian, Ubuntu, Astra).
  - /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem — ścieżka dla CentOS lub Red Hat.
3. Jeżeli połączenie LDAPS się nie powiedzie, pojawi się błąd i nie zostanie użyty żaden inny protokół połączenia.
  W przypadku problemów z LDAPS możesz skontaktować się z Pomocą techniczną Kaspersky.
Jeśli nie chcesz instalować certyfikatu w repozytorium certyfikatów systemu, możesz użyć flagi KLNAG_LDAP_SSL_CACERT, aby ustawić ścieżkę do certyfikatu kontrolera domeny. Aby to zrobić należy uruchomić polecenie:

klscflag -fset -pv klnagent -n KLNAG_LDAP_SSL_CACERT -t s -v "</path/to/domain-controller/cert>"

gdzie </path/to/domain-controller/cert> jest ścieżką do publicznej części certyfikatu kontrolera domeny.

Na przykład, jeśli ścieżka to "/var/opt/kaspersky/ldap_cert.crt", polecenie wygląda następująco: klscflag -fset -pv klnagent -n KLNAG_LDAP_SSL_CACERT -t s -v "/var/opt/kaspersky/ldap_cert.crt"

Łączenie z urządzenia z systemem Windows

Podczas łączenia się z kontrolerem domeny i uwierzytelniania go z poziomu urządzenia z systemem Windows ustawienia połączenia są definiowane przez domenę.

Musisz tylko upewnić się, że:
- Protokół LDAPS jest włączony, a port 636 jest dostępny na urządzeniu.
- Zezwalasz na połączenia z kontrolerem domeny poprzez zaporę sieciową lub serwer proxy.
Kliknij przycisk Utwórz.

Okno zostanie zamknięte, a połączenie zostanie wyświetlone w tabeli połączeń.

W tabeli połączeń możesz wykonać następujące czynności:

Edytuj parametry połączenia.
Aby tego dokonać, kliknij odnośnik z parametrem Adres sterownika domeny dla wymaganego połączenia. W oknie, które zostanie otwarte, dodaj niezbędne źródła, a następnie kliknij przycisk Zapisz.

Możesz edytować tylko parametry Login i Hasło.
Usuń połączenia.
Aby to zrobić, zaznacz pole wyboru obok połączenia, które chcesz usunąć, kliknij przycisk Usuń na pasku narzędzi, a następnie potwierdź usunięcie połączenia.

Przejdź do góry