Uwierzytelnianie i połączenie z kontrolerem domeny

Pomoc techniczna

Pomoc dla biznesu

Kaspersky Security Center 15 Linux

Wykrywanie urządzeń w sieci

Uwierzytelnianie i połączenie z kontrolerem domeny

17 lipca 2024

ID 277210

Zapisz jako PDF

Uwierzytelnianie i połączenie z kontrolerem domeny podczas skanowania domeny

Podczas skanowania kontrolera domeny Serwer administracyjny lub punkt dystrybucji identyfikuje protokół połączenia w celu nawiązania początkowego połączenia z kontrolerem domeny. Protokół ten będzie używany do wszystkich przyszłych połączeń z kontrolerem domeny.

Początkowe połączenie z kontrolerem domeny przebiega w następujący sposób:

Serwer administracyjny lub punkt dystrybucji próbuje połączyć się z kontrolerem domeny poprzez protokół LDAPS.
Domyślnie weryfikacja certyfikatu nie jest wymagana. Ustaw flagę KLNAG_LDAP_TLS_REQCERT na 1, aby wymusić weryfikację certyfikatu.

Możliwe wartości flagi KLNAG_LDAP_TLS_REQCERT_AUTH:
- 0 — Żądano certyfikatu, ale jeśli nie został on dostarczony lub weryfikacja certyfikatu nie powiodła się, połączenie TLS nadal uważa się za pomyślnie utworzone (wartość domyślna).
- 1 — Wymagana jest ścisła weryfikacja certyfikatu serwera LDAP.
Domyślnie do uzyskania dostępu do łańcucha certyfikatów używana jest ścieżka zależna od systemu operacyjnego do urzędu certyfikacji (CA). Użyj flagi KLNAG_LDAP_SSL_CACERT, aby określić ścieżkę niestandardową.
Jeżeli połączenie LDAPS nie powiedzie się, Serwer administracyjny lub punkt dystrybucji podejmie próbę połączenia się z kontrolerem domeny poprzez nieszyfrowane połączenie TCP przy użyciu protokołu SASL (DIGEST-MD5).

Uwierzytelnianie i połączenie z kontrolerem domeny podczas uwierzytelniania użytkownika domeny na Serwerze administracyjnym

Kiedy użytkownik domeny uwierzytelnia się na Serwerze administracyjnym, Serwer administracyjny identyfikuje protokół w celu nawiązania połączenia z kontrolerem domeny.

Połączenie z kontrolerem domeny przebiega w następujący sposób:

Serwer administracyjny próbuje połączyć się z kontrolerem domeny poprzez protokół LDAPS.
Domyślnie weryfikacja certyfikatu jest wymagana. Aby skonfigurować weryfikację certyfikatu, użyj flagi KLNAG_LDAP_TLS_REQCERT_AUTH.

Możliwe wartości flagi KLNAG_LDAP_TLS_REQCERT_AUTH:
- 0 — Żądano certyfikatu, ale jeśli nie został on dostarczony lub weryfikacja certyfikatu nie powiodła się, połączenie TLS nadal uważa się za pomyślnie utworzone.
- 1 — Wymagana jest ścisła weryfikacja certyfikatu serwera LDAP (wartość domyślna).
Domyślnie do uzyskania dostępu do łańcucha certyfikatów używana jest ścieżka zależna od systemu operacyjnego do urzędu certyfikacji (CA). Użyj flagi KLNAG_LDAP_SSL_CACERT, aby określić ścieżkę niestandardową.
Jeśli połączenie LDAPS nie powiedzie się, wystąpi błąd podczas łączenia z kontrolerem domeny i inne protokoły połączenia nie będą używane.

Konfiguracja flag

Do konfigurowania flag można użyć narzędzia klscflag.

Uruchom wiersz poleceń, a następnie zmień bieżący katalog na katalog z narzędziem klscflag. Narzędzie klscflag znajduje się w katalogu, w którym zainstalowany jest serwer administracyjny. Domyślna ścieżka instalacji to /opt/kaspersky/ksc64/sbin.

Na przykład następujące polecenie wymusza weryfikację certyfikatu:

klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

Kaspersky Endpoint Security for Linux: High protection without performance compromising

Detects and blocks advanced threats. Buy as part of Endpoint Security for Business Advanced.

Kaspersky Premium Support (MSA): High‑priority incident processing

Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).

Czy ten artykuł był pomocny?

Co możemy zrobić lepiej?

Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.