Uwierzytelnianie i połączenie z kontrolerem domeny
Uwierzytelnianie i połączenie z kontrolerem domeny podczas przeszukiwania domeny
Podczas przeszukiwania kontrolera domeny Serwer administracyjny lub punkt dystrybucji identyfikuje protokół połączenia w celu nawiązania początkowego połączenia z kontrolerem domeny. Protokół ten będzie używany do wszystkich przyszłych połączeń z kontrolerem domeny. Podczas nawiązywania początkowego połączenia z kontrolerem domeny można zmienić opcje połączenia, korzystając z flag Agenta sieciowego (KLNAG_LDAP_TLS_REQCERT i KLNAG_LDAP_SSL_CACERT). Flagi Agenta sieciowego można skonfigurować za pomocą polecenia klscflag, zgodnie z opisem w tym artykule.
Początkowe połączenie z kontrolerem domeny przebiega w następujący sposób:
- Serwer administracyjny lub punkt dystrybucji próbuje połączyć się z kontrolerem domeny poprzez protokół LDAPS.
Domyślnie weryfikacja certyfikatu nie jest wymagana. Ustaw flagę
KLNAG_LDAP_TLS_REQCERT
na 1, aby wymusić weryfikację certyfikatu.Możliwe wartości flagi
KLNAG_LDAP_TLS_REQCERT_AUTH
:0
— Żądano certyfikatu, ale jeśli nie został on dostarczony lub weryfikacja certyfikatu nie powiodła się, połączenie TLS nadal uważa się za pomyślnie utworzone (wartość domyślna).1
— Wymagana jest ścisła weryfikacja certyfikatu serwera LDAP.
Domyślnie, w przypadku gdy flaga KLNAG_LDAP_SSL_CACERT nie jest określona, do uzyskania dostępu do łańcucha certyfikatów używana jest ścieżka do urzędu certyfikacji (CA) zależna od systemu operacyjnego. Użyj flagi
KLNAG_LDAP_SSL_CACERT
, aby określić ścieżkę niestandardową. - Jeżeli połączenie LDAPS nie powiedzie się, Serwer administracyjny lub punkt dystrybucji podejmie próbę połączenia się z kontrolerem domeny poprzez nieszyfrowane połączenie TCP przy użyciu protokołu SASL (DIGEST-MD5).
Uwierzytelnianie i połączenie z kontrolerem domeny podczas uwierzytelniania użytkownika domeny na Serwerze administracyjnym
Kiedy użytkownik domeny uwierzytelnia się na Serwerze administracyjnym, Serwer administracyjny identyfikuje protokół w celu nawiązania połączenia z kontrolerem domeny.
Połączenie z kontrolerem domeny przebiega w następujący sposób:
- Serwer administracyjny próbuje połączyć się z kontrolerem domeny poprzez protokół LDAPS.
Wymagana jest ścisła weryfikacja certyfikatu serwera LDAP.
Domyślnie, w przypadku gdy flaga KLNAG_LDAP_SSL_CACERT nie jest określona, do uzyskania dostępu do łańcucha certyfikatów używana jest ścieżka do urzędu certyfikacji (CA) zależna od systemu operacyjnego. Użyj flagi
KLNAG_LDAP_SSL_CACERT
, aby określić ścieżkę niestandardową. - Jeśli połączenie LDAPS nie powiedzie się, wystąpi błąd podczas łączenia z kontrolerem domeny i inne protokoły połączenia nie będą używane.
Konfiguracja flag
Do konfigurowania flag można użyć narzędzia klscflag.
Uruchom wiersz poleceń, a następnie zmień bieżący katalog na katalog z narzędziem klscflag. Na urządzeniu Serwera administracyjnego narzędzie klscflag znajduje się w katalogu instalacyjnym. Domyślna ścieżka instalacji to /opt/kaspersky/ksc64/sbin.
Na przykład następujące polecenie wymusza weryfikację certyfikatu:
klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1