使用 NTLM 和 Kerberos 协议配置域身份验证

Kaspersky Security Center 14.2 允许您在 OpenAPI 中通过 NTLM 和 Kerberos 协议使用域身份验证。使用域身份验证允许 Windows 用户在 Kaspersky Security Center Web Console 中启用安全身份验证，而无需在公司网络上重新输入密码（单点登录）。

在 OpenAPI 中通过 Kerberos 协议进行域身份验证具有以下限制：

• 在 Active Directory 中必须使用 Kerberos 协议对 Kaspersky Security Center Web Console 的用户进行身份验证。用户必须具有有效的 Kerberos 票证授予票证（也称为 TGT）。当您对域进行身份验证时，将自动颁发 TGT。
• 您必须在浏览器中配置 Kerberos 身份验证。有关详细信息，请参阅所用浏览器的文档。

如果要通过 Kerberos 协议使用域身份验证，您的网络必须满足以下条件：

• 管理服务器必须在域账户名下运行。
• Kaspersky Security Center Web Console 服务器必须安装在安装管理服务器的同一设备上。
• 您必须为管理服务器账户指定以下服务主体名称 (SPN)：
  • "http/<server.fqnd.name>"
  • "http/<server>"

  这里，<server> 是管理服务器设备的网络名称，<server.fqnd.name> 是管理服务器设备的 FQDN 名称。

• 连接到管理控制台或 Kaspersky Security Center Web Console 时，所指定的管理服务器地址必须与注册了服务主体名称 (SPN) 的地址完全相同。您可以指定 <server.fqnd.name> 或 <server>。
• 要实现免密码登录，在其中将 Kaspersky Security Center Web Console 作为浏览器打开的浏览器进程必须在域账户下运行。

只有 Kaspersky Security Center 14.2 的 OpenAPI 支持 Kerberos 和 NTLM 协议。Kaspersky Security Center Linux 的 OpenAPI 不支持。