Kerberos домен аутентификациясын конфигурациялау

Барлығын жаю | Барлығын жию

Kaspersky Security Center Linux бағдарламасы Kerberos протоколы арқылы домен аутентификациясын пайдалануға мүмкіндік береді. Домен аутентификациясы корпоративтік желіде құпиясөзді қайта енгізбей (бірыңғай кіру), Kaspersky Security Center Web Console серверінде қауіпсіз аутентификацияны қосуға мүмкіндік береді.

Алдымен домен контроллерін Kerberos пайдалану және пернетақта файлын жасау үшін конфигурациялау керек. Қосымша ақпарат алу үшін домен контроллеріне арналған құжаттаманы қараңыз.

Microsoft Active Directory үшін SCRIL (өзара әрекетті кіру үшін смарт карталар қажет) қолдау көрсетіледі.

FreeIPA және AldPro үшін пернетақта файлын жасау

Пернетақта файлын жасау үшін:

  1. Домен контроллеріне кіру үшін IAM пайдаланатын пайдаланушы есептік жазбасын жасаңыз.
  2. Басқару сервері FreeIPA/AldPro доменінен тыс болса, DNS жазбасын және хост жазбасын қосыңыз:

    ipa dnsrecord-add <zoneName> <recordName> --a-rec <Administration Server IP address>

    ipa host-add --password=<құпиясөз> <Administration Server host address>

  3. Басқару серверіне арналған HTTP қызметін жасаған кезде, PAC түрін көрсетіңіз:

    ipa service-add HTTP/<Administration Server host FQDN>@<DOMAIN WRITTEN IN CAPITAL LETTERS> --ok-to-auth-as-delegate=true --pac-type PAD

  4. Аутентификация үшін пайдаланушы есептік жазбасын көрсетіңіз:

    ipa service-allow-retrieve-keytab HTTP/<Administration Server host address>@<DOMAIN WRITTEN IN CAPITAL LETTERS> --user=<user>

  5. Пернетақта файлын экспорттаңыз:

    ipa-getkeytab -s <domain controller address> -p HTTP/<Administration Server host address>@<DOMAIN WRITTEN IN CAPITAL LETTERS> -k /tmp/h.keytab

Microsoft Active Directory үшін пернетақта файлын жасау

Пернетақта файлын жасау үшін:

  1. IAM домен контроллерімен байланысу үшін қолданатын пайдаланушы есептік жазбасын жасаңыз.
  2. Пайдаланушы есептік жазбасы үшін келесі опцияларды қосыңыз:
    • Пайдаланушы құпиясөзді өзгерте алмайды
    • Kerberos AES 256 разрядты шифрлау

    Құпиясөз мерзімі аяқталған сайын пернетақта файлын қайта шығаруға жол бермеу үшін Құпиясөз мерзімі ешқашан аяқталмайды опциясын қосуға болады.

  3. Пайдаланушы есептік жазбасына қызметтің негізгі атауын (SPN) қосыңыз:

    setspn -S HTTP/<Administration Server host FQDN> <DOMAIN WRITTEN IN CAPITAL LETTERS>\<user>

  4. Пернетақта файлын экспорттаңыз:

    ktpass -out C:\<folder>\<keytab file name> -princ HTTP/<Administration Server host FQDN>@<DOMAIN WRITTEN IN CAPITAL LETTERS> -mapuser <DOMAIN WRITTEN IN CAPITAL LETTERS>\<user> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <user password> -mapop set

Samba үшін пернетақта файлын жасау

Пернетақта файлын жасау үшін:

  1. IAM домен контроллерімен байланысу үшін қолданатын пайдаланушы есептік жазбасын жасаңыз:

    samba-tool user add <user>

  2. SPN-ді пайдаланушы есептік жазбасына қосыңыз:

    samba-tool spn add HTTP/<Administration Server host FQDN> <user>

  3. Пернетақта файлын экспорттаңыз:

    samba-tool domain exportkeytab /tmp/file.keytab --principal=HTTP/<Administration Server host FQDN>

Kerberos домен аутентификациясын қосу

Kerberos домен аутентификациясын қосу үшін:

  1. Домен контроллері сауалнамасын жүргізіңіз.
  2. Негізгі мәзірдегі Параметрлер Бірыңғай кіру бөліміне өтіңіз.
  3. Kerberos аутентификациясы опциясын қосыңыз.
  4. Пернетақта файлын жүктеп салыңыз.
  5. Kaspersky Security Center Web Console-ге кіруге мүмкіндік беретін рөлді домен пайдаланушыларына тағайындаңыз.

    Kerberos домен аутентификациясы домен пайдаланушылары үшін қосылған.

Басына оралу