身分驗證與網域控制器連線

掃描網域時進行驗證並與網域控制器連線

掃描網域控制器時，管理伺服器或發佈點會識別連線協定，以建立與網域控制器的初始連線。未來所有與該網域控制器的連線，都會使用此通訊協定。

初次與網域控制器連線的程序如下：

1. 管理伺服器或發佈點嘗試透過 LDAPS 連線到網域控制器。

   預設並不會要求執行憑證驗證。將 KLNAG_LDAP_TLS_REQCERT 標誌設為 1，即可強制執行憑證驗證。

   KLNAG_LDAP_TLS_REQCERT_AUTH 標誌的可能值：

   • 0：請求憑證，但如果未提供或憑證驗證失敗，仍認為 TLS 連線已成功建立（預設值）。
   • 1：需要嚴格驗證 LDAP 伺服器憑證。

   預設會使用依作業系統而定的憑證授權單位 (CA) 路徑來存取憑證鏈。使用 KLNAG_LDAP_SSL_CACERT 旗標，即可指定自訂路徑。

2. 如果 LDAPS 連線失敗，管理伺服器或發佈點會嘗試使用 SASL (DIGEST-MD5)，透過非加密 TCP 連線連接到網域控制器。

向管理伺服器驗證網域使用者時進行驗證並與網域控制器連線

當網域使用者在管理伺服器上進行驗證時，管理伺服器會識別與網域控制器建立連線的協定。

與網域控制器連線的步驟如下：

1. 管理伺服器嘗試透過 LDAPS 連線到網域控制器。

   預設會要求憑證驗證。使用 KLNAG_LDAP_TLS_REQCERT_AUTH 標誌來設定憑證驗證。

   KLNAG_LDAP_TLS_REQCERT_AUTH 標誌的可能值：

   • 0：請求憑證，但如果未提供或憑證驗證失敗，仍認為 TLS 連線已成功建立。
   • 1：需要嚴格驗證 LDAP 伺服器憑證（預設值）。

   預設會使用依作業系統而定的憑證授權單位 (CA) 路徑來存取憑證鏈。使用 KLNAG_LDAP_SSL_CACERT 旗標，即可指定自訂路徑。

2. 如果 LDAPS 連線失敗，則連線到網域控制器時會發生錯誤，且不會使用其他連線協定。

設定標誌

您可以使用 klscflag 公用程式設定旗標。

執行命令行，然後將目前目錄變更為包含 klscflag 公用程式的目錄。klscflag 公用程式位於安裝管理伺服器的目錄中。預設安裝路徑為/opt/kaspersky/ksc64/sbin。

例如，以下命令會強制執行憑證驗證：

klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1