Kaspersky Web Traffic Security 帮助
6.1
简体中文

目录

连接到 LDAP 服务器

Kaspersky Web Traffic Security 可以让您

通过 LDAP 协议
连接到使用在您的组织中的外部
目录服务
的服务器。

通过 LDAP 协议连接到外部目录服务可让 Kaspersky Web Traffic Security 管理员执行以下操作:

本“帮助”部分内容

创建 keytab 文件

添加 LDAP 服务器连接

删除 LDAP 服务器连接

更改 LDAP 服务器连接设置

手动启动与 Active Directory 域控制器的同步
页面顶端
[Topic 166541]

创建 keytab 文件

使用域管理员账户,在域控制器服务器或属于该域的 Windows Server 计算机上创建 keytab 文件。

要创建 keytab 文件:

  1. 在“Active Directory 用户和计算机”管理单元中,创建一个单独的用户账户,该账户将用于将应用程序连接到 LDAP 服务器(例如,名为 kwts-ldap 的账户)。

    创建密码时,必须选择“密码永不过期”选项。

  2. 要使用 AES256-SHA1 加密算法,请使用 Active Directory 用户和计算机管理单元打开“账户”选项卡上已创建的用户账户的属性,然后选中“此账户支持 Kerberos AES 256 位加密”复选框。
  3. 使用 ktpass 实用程序为 kwts-ldap 用户创建 keytab 文件。为此,请在命令行运行以下命令:

    C:\Windows\system32\ktpass.exe -princ kwts-ldap@<大写领域 Active Directory 域名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <kwts-ldap 用户密码> -out <文件路径>\<文件名>.keytab

    您可以使用 * 字符作为 -pass 参数的值,以避免在命令文本中指示密码。在这种情况下,当您运行命令时,实用程序会提示您输入密码。

    示例:

    C:\Windows\system32\ktpass.exe -princ kwts-ldap@COMPANY.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Keytabs\kwts-ldap.keytab

将创建 keytab 文件。如果更改用户账户密码,则必须生成新的 keytab 文件。

页面顶端
[Topic 233047]

添加 LDAP 服务器连接

您可以添加一个或数个 LDAP 服务器连接。

如果您要用名称包含根域名 .local 的域来配置集成,您必须完成以下步骤以便 操作系统准备 成功连接 LDAP 服务器。

  1. 检查 avahi-daemon 服务的状态。为此,请执行命令:

    systemctl status avahi-daemon

  2. 如果服务正在运行,请停止它。为此,请执行命令:

    systemctl stop avahi-daemon

  3. 禁用自动启动服务。为此,请执行命令:

    systemctl disable avahi-daemon

要添加 LDAP 服务器连接:

  1. 在应用程序 web 界面窗口中,选择 设置外部服务LDAP 服务器连接 区域。
  2. 单击 添加

    添加连接 窗口将打开。

  3. 名称 文本框中,输入将在 Kaspersky Web Traffic Security 的 web 界面中显示的 LDAP 服务器的名称。
  4. Keytab 文件 设置块中,单击 上传 加载
    keytab 文件

    文件选择窗口将打开。

  5. 选择 keytab 文件并单击 打开
  6. 搜索库(Base DN) 文本框中,输入被 Kaspersky Web Traffic Security 用作记录查询起始点的目录对象的 DN可分辨名称)。

    按以下格式输入目录后缀: ou=<部门名称>(如适用), dc=<域名>, dc=<父级域名>

    例如,您可以输入 ou=people, dc=example, dc=com

    在此处,people 是目录架构中的级别,Kaspersky Web Traffic Security 从中查找记录(搜索范围在级别 people 及其以下。该级别以上的对象将被排除在搜索之外),example 是 Kaspersky Web Traffic Security 在其中查找记录的目录的域名,com 是目录所在的父级域名。

  7. 单击 添加

已添加 LDAP 服务器连接。

另请参见

连接到 LDAP 服务器

创建 keytab 文件

删除 LDAP 服务器连接

更改 LDAP 服务器连接设置

手动启动与 Active Directory 域控制器的同步
页面顶端
[Topic 166544]

删除 LDAP 服务器连接

要删除 LDAP 服务器连接:

  1. 在应用程序 web 界面窗口中,选择 设置外部服务LDAP 服务器连接 区域。
  2. 选择要删除的 LDAP 服务器。

    查看连接设置 窗口将打开。

  3. 单击 删除

    确认窗口将打开。

  4. 单击 确定

已删除 LDAP 服务器连接。

另请参见

连接到 LDAP 服务器

创建 keytab 文件

添加 LDAP 服务器连接

更改 LDAP 服务器连接设置

手动启动与 Active Directory 域控制器的同步
页面顶端
[Topic 166546]

更改 LDAP 服务器连接设置

要更改 LDAP 服务器连接的连接设置,请:

  1. 在应用程序 web 界面窗口中,选择 设置外部服务LDAP 服务器连接 区域。
  2. 选择您想要更改连接设置的 LDAP 服务器。

    查看连接设置 窗口将打开。

  3. 单击 编辑
  4. 在必要时,更改以下设置:
    • 显示在应用程序 web 界面中的 LDAP 服务器名称,在 名称 文本框中。
    • Keytab 文件,通过单击 替换
    • 记录搜索起始目录,在 搜索库(Base DN) 文本框中。
  5. 单击 保存

LDAP 服务器连接设置被更改。

另请参见

连接到 LDAP 服务器

创建 keytab 文件

添加 LDAP 服务器连接

删除 LDAP 服务器连接

手动启动与 Active Directory 域控制器的同步
页面顶端
[Topic 166548]

手动启动与 Active Directory 域控制器的同步

应用程序每 30 分钟自动与 Active Directory 域控制器同步一次数据。如果你需要立即更新用户账户数据(例如,在添加新用户时),您可以手动运行同步。

要手动运行与 Active Directory 域控制器的同步,请执行以下操作:

  1. 在应用程序 web 界面窗口中,选择 设置外部服务LDAP 服务器连接 区域。
  2. 单击 现在同步

将开启与域控制器的数据同步。这将更新用于选择规则和在应用程序 web 界面中自动完成用户名的用户账户数据。

与 Active Directory 同步的最新状态将会显示在节点 部分 当查看有关集群节点的信息时

页面顶端
[Topic 183836]