ドメインコントローラーのポーリング
Kaspersky Security Center Linux は、Microsoft Active Directory ドメインコントローラーと Samba ドメインコントローラーのポーリングをサポートしています。Samba ドメインコントローラーの場合、 Samba 4 が Active Directory ドメインコントローラーとして使用されます。
ドメインコントローラーをポーリングすると、管理サーバーまたはディストリビューションポイントは、ドメイン構造、ユーザーアカウント、セキュリティグループ、およびドメインに含まれるデバイスの DNS 名に関する情報を取得します。
すべてのネットワークに接続されたデバイスがドメインのメンバーである場合は、ドメインコントローラーのポーリングを使用することを推奨します。ネットワークに接続されたデバイスの一部がドメインに含まれていない場合、これらのデバイスはドメインコントローラーのポーリングでは検出できません。
必須条件
ドメインコントローラーをポーリングする前に、次のプロトコルが有効になっていることを確認してください:
- 簡易認証およびセキュリティ層(SASL)
- ライトウェイトディレクトリアクセスプロトコル(LDAP)
ドメインコントローラーデバイスで次のポートが使用可能であることを確認してください:
- SASL の場合は 389
- TLS の場合は 636
管理サーバーを使用したドメインコントローラーのポーリング
管理サーバーを使用してドメインコントローラーをポーリングするには、次の手順を実行します:
- メインメニューで、[検出と製品の導入]→[検出]→[ドメインコントローラー]の順に移動します。
- [ポーリングの設定]をクリックします。
[ドメインコントローラーのポーリング設定]ウィンドウが開きます。
- [ドメインコントローラーのポーリングを有効にする]をオンにします。
- [指定したドメインのポーリング]で[追加]をクリックし、ドメインコントローラーのアドレスとユーザー資格情報を指定します。
- 必要に応じて、[ドメインコントローラーのポーリング設定]ウィンドウでポーリングスケジュールを指定します。既定では、時間は 1 時間です。次のポーリングで受信したデータは、古いデータと完全に置き換わります。
ポーリングスケジュールには次のオプションがあります:
ドメインのセキュリティグループ内のユーザーアカウントを変更した場合、ドメインコントローラーをポーリングしてから 1 時間後に、これらの変更が Kaspersky Security Center Linux に表示されます。
- [保存]をクリックして変更を適用します。
- すぐにポーリングを実行するには、[ポーリングを開始する]をクリックします。
ディストリビューションポイントを使用したドメインコントローラーのポーリング
ディストリビューションポイントを使用してドメインコントローラーをポーリングすることもできます。Windows または Linux ベースの管理対象デバイスは、ディストリビューションポイントとして機能できます。
Linux ディストリビューションポイントの場合、Microsoft Active Directory ドメインコントローラーと Samba ドメインコントローラーのポーリングがサポートされています。
Windows ディストリビューションポイントの場合、Microsoft Active Directory ドメインコントローラーのポーリングのみがサポートされます。
Mac ディストリビューションポイントを使用したポーリングはサポートされていません。
ディストリビューションポイントを使用してドメインコントローラーのポーリングを設定するには:
- ディストリビューションポイントのプロパティを開きます。
- [ドメインコントローラーのポーリング]セクションを選択します。
- [ドメインコントローラーのポーリングを有効にする]をオンにします。
- ポーリングするドメインコントローラーを選択します。
Linux ディストリビューションポイントを使用する場合は、[指定したドメインのポーリング]セクションで、[追加]をクリックし、ドメインコントローラーのアドレスとユーザー資格情報を指定します。
Windows ディストリビューションポイントを使用する場合は、次のオプションのいずれかをオンにできます:
- 現在のドメインのポーリング
- ドメインフォレスト全体のポーリング
- 指定したドメインのポーリング
- 必要に応じて、[ポーリングのスケジュールを設定する]をクリックして、ポーリングスケジュールオプションを指定します。
ポーリングは、指定されたスケジュールに従ってのみ開始されます。ポーリングを手動で開始することはできません。
ポーリングが完了すると、ドメイン構造が[ドメインコントローラー]セクションに表示されます。
デバイス移動ルールを設定しオンにしている場合、新たに検出されたデバイスは自動的に管理対象デバイスグループに含まれます。移動ルールがオンでない場合、新たに検出されたデバイスは自動的に未割り当てデバイスグループに含まれます。
検出されたユーザーアカウントは、Kaspersky Security Center Web コンソールでのドメイン認証に使用できます。
認証とドメインコントローラーへの接続
ドメインコントローラーへの最初の接続時に、管理サーバーは接続プロトコルを識別します。このプロトコルは、ドメインコントローラーへの今後のすべての接続に使用されます。
ドメインコントローラーへの最初の接続は次のように行われます:
- 管理サーバーは、TLS 経由でドメインコントローラーへの接続を試行します。
既定では、証明書の検証は必要ありません。証明書の検証を実施するには、KLNAG_LDAP_TLS_REQCERT フラグを 1 に設定します。
既定では、証明書チェーンへの接続には、OS に依存する認証局(CA)へのパスが使用されます。KLNAG_LDAP_SSL_CACERT フラグを使用してカスタムパスを指定します。
- TLS 接続が失敗した場合、管理サーバーは SASL (DIGEST-MD5) 経由でドメインコントローラーへの接続を試行します。
- SASL (DIGEST-MD5) 接続が失敗した場合、管理サーバーは暗号化されていない TCP 接続での簡易認証を使用してドメインコントローラーに接続します。
klscflag ユーティリティを使用してフラグを設定できます。
コマンドラインを実行し、現在のディレクトリを klscflag ユーティリティのあるディレクトリに変更します。klscflag ユーティリティは、管理サーバーがインストールされているディレクトリにあります。既定のインストールパスは /opt/kaspersky/ksc64/sbin です。
たとえば、次のコマンドは証明書の検証を実施します:
klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1