Поддержка

Поддержка приложений для бизнеса

Kaspersky Security Center 15 Linux

Обнаружение устройств в сети

Аутентификация и подключение к контроллеру домена

Kaspersky Security Center
Нет результатов
Нет результатов
Онлайн-справка
FAQ Скачать Купить Продлить Форум Запрос в поддержку Утилиты для лечения Видео о продуктах

Аутентификация и подключение к контроллеру домена

08 августа 2024

ID 277210

Скачать PDF

Аутентификация и подключение к контроллеру домена при опросе домена

При опросе контроллера домена Сервер администрирования или точка распространения идентифицирует протокол соединения для установления начального соединения с контроллером домена. Этот протокол используется для всех будущих подключений к контроллеру домена. При первоначальном подключении к контроллеру домена вы можете изменить параметры подключения с помощью флагов Агента администрирования (KLNAG_LDAP_TLS_REQCERT и KLNAG_LDAP_SSL_CACERT). Вы можете настроить флаги Агента администрирования с помощью команды klscflag, как описано в этой статье.

Первоначальное подключение к контроллеру домена происходит следующим образом:

  1. Сервер администрирования или точка распространения пытается подключиться к контроллеру домена через LDAPS.

    По умолчанию проверка сертификата не требуется. Для флага KLNAG_LDAP_TLS_REQCERT установите значение 1, чтобы принудительно выполнить проверку сертификата.

    Возможные значения флага KLNAG_LDAP_TLS_REQCERT_AUTH:

    • 0 – сертификат запрошен, но если он не предоставлен или проверка сертификата завершилась неудачно, соединение TLS по-прежнему считается успешно созданным (значение по умолчанию).
    • 1 – требуется строгая проверка сертификата LDAP-сервера.

    По умолчанию, если флаг KLNAG_LDAP_SSL_CACERT не задан, для доступа к цепочке сертификатов используется зависящий от операционной системы путь к центру сертификации (CA). Используйте флаг KLNAG_LDAP_SSL_CACERT, чтобы указать другой путь.

  2. В случае сбоя подключения LDAPS Сервер администрирования или точка распространения пытается подключиться к контроллеру домена по незашифрованному TCP-соединению с помощью SASL (DIGEST-MD5).

Аутентификация и подключение к контроллеру домена при аутентификации доменного пользователя на Сервере администрирования

Когда доменный пользователь выполняет аутентификацию на Сервере администрирования, Сервер администрирования определяет протокол для установки соединения с контроллером домена.

Подключение к контроллеру домена происходит следующим образом:

  1. Сервер администрирования пытается подключиться к контроллеру домена по LDAPS.

    Требуется строгая проверка сертификата LDAP-сервера.

    По умолчанию, если флаг KLNAG_LDAP_SSL_CACERT не задан, для доступа к цепочке сертификатов используется зависящий от операционной системы путь к центру сертификации (CA). Используйте флаг KLNAG_LDAP_SSL_CACERT, чтобы указать другой путь.

  2. В случае сбоя подключения LDAPS возникает ошибка подключения к контроллеру домена и другие протоколы подключения не используются.

Настройка флагов

Вы можете использовать утилиту klscflag для настройки флагов.

Запустите командную строку и измените текущую директорию на директорию с утилитой klscflag. На устройстве Сервера администрирования утилита klscflag находится в директории установки. По умолчанию задан путь /opt/kaspersky/ksc64/sbin.

Например, следующая команда принудительно проверяет сертификат:

klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

Kaspersky Endpoint Security для Linux — надежная защита без ущерба для производительности
Обнаруживает и блокирует даже продвинутые угрозы. Купите в составе Endpoint Security для бизнеса Расширенный.
Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов
Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!