域控制器轮询
Kaspersky Security Center Linux 支持轮询 Microsoft Active Directory 域控制器和 Samba 域控制器。对于 Samba 域控制器, Samba 4 用作 Active Directory 域控制器。
当您轮询域控制器时,管理服务器或分发点会检索有关域中包含的设备的域结构、用户账户、安全组和 DNS 名称的信息。
如果所有联网设备都是域的成员,我们建议使用域控制器轮询。如果某些联网设备未包含在域中,则域控制器轮询无法发现这些设备。
先决条件
在轮询域控制器之前,请确保启用以下协议:
- 简单身份验证和安全层 (SASL)
- 轻量级目录访问协议 (LDAP)
确保域控制器设备上的以下端口可用:
- 389 用于 SASL
- 636 用于 TLS
使用管理服务器进行域控制器轮询
要使用管理服务器轮询域控制器:
- 在主菜单中,转到发现和部署 → 发现 → 域控制器。
- 单击轮询设置。
域控制器轮询设置窗口将打开。
- 选择启用域控制器轮询选项。
- 在轮询指定域中,单击添加 ,然后指定域控制器的地址和用户凭据。
- 如有必要,请在域控制器轮询设置窗口中指定轮询计划。默认间隔是一小时。下次轮询接收的数据会完全替换旧数据。
有以下轮询计划选项可用:
如果您更改域安全组中的用户账户,这些更改将在您轮询域控制器一小时后显示在 Kaspersky Security Center Linux 中。
- 单击保存以应用更改。
- 如果您要立即执行轮询,请单击“开始轮询”按钮。
使用分发点进行域控制器轮询
您还可以使用分发点轮询域控制器。基于 Windows 或 Linux 的受管理设备可以充当分发点。
对于 Linux 分发点,支持对 Microsoft Active Directory 域控制器和 Samba 域控制器进行轮询。
对于 Windows 分发点,仅支持 Microsoft Active Directory 域控制器的轮询。
使用 Mac 分发点进行轮询不受支持。
要使用分发点配置域控制器轮询:
- 打开分发点属性。
- 选择域控制器轮询部分。
- 选择启用域控制器轮询选项。
- 选择要轮询的域控制器。
如果您使用 Linux 分发点,请在轮询指定域部分中单击添加 ,然后指定域控制器的地址和用户凭据。
如果您使用 Windows 分发点,则可以选择以下选项之一:
- 轮询当前域
- 轮询整个域森林
- 轮询指定域
- 如果需要,单击设置轮询计划按钮以指定轮询计划选项。
轮询仅根据指定的时间表开始。无法手动启动轮询。
轮询完成后,域结构将显示在域控制器部分。
如果设置并启用了设备移动规则,则新发现的设备将自动包含在“受管理设备”组中。如果未启用移动规则,新发现的设备将自动包含在“未分配的设备”组。
发现的用户账户可用于Kaspersky Security Center Web Console 中的域身份验证。
身份验证和连接到域控制器
与域控制器初始连接时,管理服务器会识别连接协议。该协议用于将来与域控制器的所有连接。
与域控制器的初始连接过程如下:
- 管理服务器尝试通过 TLS 连接到域控制器。
默认情况下不需要证书验证。将 KLNAG_LDAP_TLS_REQCERT 标志设置为 1 以强制执行证书验证。
默认情况下,使用与操作系统相关的证书颁发机构 (CA) 路径来访问证书链。使用 KLNAG_LDAP_SSL_CACERT 标志指定自定义路径。
- 如果 TLS 连接失败,管理服务器将尝试通过 SASL (DIGEST-MD5) 连接到域控制器。
- 如果 SASL (DIGEST-MD5) 连接失败,管理服务器将使用通过非加密 TCP 连接的简单身份验证来连接到域控制器。
您可以使用 klscflag 实用程序来配置标志。
运行命令行,然后将当前目录更改为包含 klscflag 实用程序的目录。klscflag 实用程序位于安装管理服务器的目录中。默认安装路径为/opt/kaspersky/ksc64/sbin。
例如,以下命令可强制执行证书验证:
klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1