Autenticación y conexión a un controlador de dominio

Autenticación y conexión a un controlador de dominio al sondear un dominio

Cuando se sondea un controlador de dominio, el Servidor de administración o el punto de distribución identifican el protocolo de conexión para establecer la conexión inicial con el controlador de dominio. El protocolo se usa de allí en más para todas las futuras conexiones con el controlador de dominio Cuando se establezca la conexión inicial con el controlador de dominio, puede cambiar las opciones de conexión utilizando los indicadores del Agente de red (KLNAG_LDAP_TLS_REQCERT y KLNAG_LDAP_SSL_CACERT). Puede configurar los indicadores del Agente de red con klscflag siguiendo las indicaciones de este artículo.

La conexión inicial a un controlador de dominio se realiza de la siguiente manera:

  1. El Servidor de administración o el punto de distribución intentan conectarse al controlador de dominio mediante el protocolo LDAPS.

    De forma predeterminada, la verificación del certificado no es obligatoria. Establezca el indicador KLNAG_LDAP_TLS_REQCERT en 1 para verificar el certificado.

    Posibles valores del indicador KLNAG_LDAP_TLS_REQCERT:

    • 0: se solicita el certificado, pero si la otra parte no brinda un certificado o si la verificación del certificado genera un error, se considera que la conexión TLS se estableció correctamente (valor predeterminado).
    • 1: se requiere una verificación estricta del certificado del servidor LDAP.

    De manera predeterminada, si no se especifica el indicador KLNAG_LDAP_SSL_CACERT, se usa la ruta de acceso a la autoridad de certificación (CA), que depende del sistema operativo, para acceder a la cadena de certificados. Utilice el indicador KLNAG_LDAP_SSL_CACERT para especificar una ruta personalizada.

  2. Si la conexión LDAPS no se establece correctamente, el Servidor de administración o el punto de distribución intentan conectarse al controlador de dominio mediante una conexión TCP no cifrada a través de SASL (DIGEST-MD5).

Autenticación y conexión a un controlador de dominio al autenticar un usuario de dominio en el Servidor de administración

Cuando un usuario del dominio se autentica en el Servidor de administración, el Servidor de administración identifica el protocolo para establecer la conexión con el controlador de dominio.

La conexión con el controlador de dominio se realiza de la siguiente manera:

  1. El Servidor de administración intenta conectarse al controlador de dominio a través de LDAPS.

    Se requiere una verificación estricta del certificado del servidor LDAP.

    De manera predeterminada, si no se especifica el indicador KLNAG_LDAP_SSL_CACERT, se usa la ruta de acceso a la autoridad de certificación (CA), que depende del sistema operativo, para acceder a la cadena de certificados. Utilice el indicador KLNAG_LDAP_SSL_CACERT para especificar una ruta personalizada.

  2. Si la conexión LDAPS no se establece correctamente, se produce un error al conectarse al controlador de dominio y no se utilizan otros protocolos de conexión.

Configuración de indicadores

Puede usar la utilidad klscflag para configurar los indicadores.

Abra la línea de comandos y pase al directorio que contenga la utilidad klscflag. En el dispositivo del Servidor de administración, la utilidad klscflag se encuentra en el directorio de instalación. La ruta de instalación predeterminada es /opt/kaspersky/ksc64/sbin.

El siguiente comando, por ejemplo, habilita la verificación de certificados:

klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

Principio de la página