使用 NTLM 和 Kerberos 通訊協定設定網域身分驗證

卡巴斯基安全管理中心 14.2 使您可以透過使用 NTLM 和 Kerberos 通訊協定在 OpenAPI 中使用網域身分驗證。使用網域身分驗證，Windows 使用者可以在卡巴斯基安全管理中心 網頁主控台中啟用安全身分驗證，而不必在公司網路上重新輸入密碼（單一登入）。

透過 Kerberos 通訊協定在 OpenAPI 中進行網域身分驗證具有以下限制：

• 必須使用 Kerberos 通訊協定在 Active Directory 中對卡巴斯基安全管理中心 網頁主控台的使用者進行身分驗證。使用者必須具有有效的 Kerberos 票證授予票（也稱為 TGT）。當您對網域進行身分驗證時，將自動簽發 TGT。
• 您必須在瀏覽器中設定 Kerberos 身分驗證。相關詳細資料，請參閱所用瀏覽器的文件。

如果要透過使用 Kerberos 通訊協定使用網域身分驗證，則您的網路必須符合以下條件：

• 管理伺服器必須以網域帳戶名稱執行。
• 卡巴斯基安全管理中心網頁主控台伺服器必須安裝在安裝管理伺服器的同一裝置上。
• 您必須為管理伺服器帳戶指定以下服務主體名稱 (SPN)：
  • "http/<server.fqnd.name>"
  • "http/<server>"

  這裡，<server> 是管理伺服器裝置的網路名稱，並且 <server.fqnd.name> 是管理伺服器裝置的 FQDN 名稱。

• 連線管理主控台或卡巴斯基安全管理中心網頁主控台時，必須將管理伺服器位址指定為與註冊服務主體名稱 (SPN) 的位址完全相同的位址。您可以指定 <server.fqnd.name> 或者 <server>。
• 對於無密碼登入，必須以網域帳戶執行瀏覽器處理程序，在該處理程序中，以瀏覽器的身分開啟卡巴斯基安全管理中心網頁主控台。

僅卡巴斯基安全管理中心 14.2 的 OpenAPI 支援 Kerberos 和 NTLM 通訊協定。卡巴斯基安全管理中心 Linux 版的 OpenAPI 不支援該通訊協定。