Configuração da autenticação do domínio Kerberos

Expandir tudo | Recolher tudo

A Kaspersky Security Center Linux permite utilizar a autenticação do domínio por meio do protocolo Kerberos. A utilização da autenticação do domínio permite a autenticação segura no Kaspersky Security Center Web Console sem precisar inserir a senha novamente na rede corporativa (conexão única).

Você deve primeiro configurar o controlador de domínio para utilizar Kerberos e gerar um arquivo keytab. Para mais informações, consulte a documentação do controlador de domínio.

A configuração SCRIL (Smart Card Is Required for Interactive Logon) é compatível com o Microsoft Active Directory.

Gerar um arquivo keytab para FreeIPA e AldPro

Para gerar um arquivo keytab:

1. Crie uma conta de usuário a ser usada pelo IAM para acessar o controlador de domínio.
2. Se o Servidor de Administração estiver fora do domínio FreeIPA/AldPro, adicione a entrada do registro DNS e a entrada do host:

   ipa dnsrecord-add <zoneName> <recordName> --a-rec <endereço IP do Servidor de Administração>

   ipa host-add --password =<senha> <endereço do host do Servidor de Administração>

3. Especifique o tipo de PAC ao criar o serviço HTTP para o Servidor de Administração:

   ipa service-add HTTP/<FQDN do host do Servidor de Administração>@<DOMÍNIO ESCRITO EM LETRAS MAIÚSCULAS> --ok-to- auth-as-delegate=true --pac-type PAD

4. Especifique a conta de usuário para autenticação:

   ipa service-allow-retrieve-keytab HTTP/<endereço do host do Servidor de Administração>@< DOMÍNIO ESCRITO EM LETRAS MAIÚSCULAS> --user=< usuário>

5. Exporte o arquivo keytab:

   ipa-getkeytab -s <endereço do controlador de domínio> -p HTTP/<endereço do host do Servidor de Administração>@<DOMÍNIO ESCRITO EM LETRAS MAIÚSCULAS> -k /tmp/h.keytab

Gerar um arquivo keytab para o Microsoft Active Directory

Para gerar um arquivo keytab:

1. Crie uma conta de usuário a ser usada pelo IAM para se comunicar com o controlador de domínio.
2. Ative as seguintes opções para a conta de usuário:
   • O usuário não pode alterar a senha
   • Criptografia Kerberos AES de 256 bits

   Você pode ativar a opção A senha nunca expira para evitar que o arquivo keytab seja emitido novamente sempre que a senha expirar.

3. Adicione um Nome Principal de Serviço (SPN) à conta de usuário:

   setspn -S HTTP/<FQDN do host do Servidor de Administração> <DOMÍNIO ESCRITO EM LETRAS MAIÚSCULAS>\<usuário>

4. Exporte o arquivo keytab:

   ktpass -out C:\< pasta>\<nome do arquivo keytab> -princ HTTP/<FQDN do host do Servidor de Administração>@<DOMÍNIO ESCRITO EM LETRAS MAIÚSCULAS> -mapuser <DOMÍNIO ESCRITO EM LETRAS MAIÚSCULAS>\<usuário> -crypto AES256- SHA1 -ptype KRB5_NT_PRINCIPAL -pass <senha do usuário> -mapop set

Gerar um arquivo keytab para o Samba

Para gerar um arquivo keytab:

1. Crie uma conta de usuário a ser usada pelo IAM para se comunicar com o controlador de domínio:

   samba-tool user add <usuário>

2. Adicione o SPN à conta de usuário:

   samba-tool spn add HTTP/<FQDN do host do Servidor de Administração> <usuário>

3. Exporte o arquivo keytab:

   samba-tool domain exportkeytab /tmp/file.keytab --principal=HTTP/<FQDN do host do Servidor de Administração>

Configurar a autenticação do domínio Kerberos

Para ativar a autenticação do domínio Kerberos:

1. Fazer a sondagem do controlador de domínio.
2. No menu principal, vá para Configurações→ Conexão única.
3. Ative a opção Autenticação Kerberos.
4. Carregue o arquivo keytab.
5. Atribua uma função aos usuários do domínio que dê acesso ao Kaspersky Security Center Web Console.

   A autenticação do domínio Kerberos é ativada para os usuários do domínio.

Topo da página