ドメインコントローラーのポーリング

すべて表示 | すべて非表示

Kaspersky Security Center Linux は、Microsoft Active Directory ドメインコントローラーと Samba ドメインコントローラーのポーリングをサポートしています。Samba ドメインコントローラーの場合、 Samba 4 が Active Directory ドメインコントローラーとして使用されます。

ドメインコントローラーをポーリングすると、管理サーバーまたはディストリビューションポイントは、ドメイン構造、ユーザーアカウント、セキュリティグループ、およびドメインに含まれるデバイスの DNS 名に関する情報を取得します。

すべてのネットワークに接続されたデバイスがドメインのメンバーである場合は、ドメインコントローラーのポーリングを使用することを推奨します。ネットワークに接続されたデバイスの一部がドメインに含まれていない場合、これらのデバイスはドメインコントローラーのポーリングでは検出できません。

必須条件

ドメインコントローラーをポーリングする前に、次のプロトコルが有効になっていることを確認してください：

• 簡易認証およびセキュリティ層（SASL）
• ライトウェイトディレクトリアクセスプロトコル（LDAP）

ドメインコントローラーデバイスで次のポートが使用可能であることを確認してください：

• SASL の場合は 389
• TLS の場合は 636

管理サーバーを使用したドメインコントローラーのポーリング

管理サーバーを使用してドメインコントローラーをポーリングするには、次の手順を実行します：

1. メインメニューで、［検出と製品の導入］→［検出］→［ドメインコントローラー］の順に移動します。
2. ［ポーリングの設定］をクリックします。

   ［ドメインコントローラーのポーリング設定］ウィンドウが開きます。

3. ［ドメインコントローラーのポーリングを有効にする］をオンにします。
4. ［指定したドメインのポーリング］で［追加］をクリックし、ドメインコントローラーのアドレスとユーザー資格情報を指定します。
5. 必要に応じて、［ドメインコントローラーのポーリング設定］ウィンドウでポーリングスケジュールを指定します。既定では、時間は 1 時間です。次のポーリングで受信したデータは、古いデータと完全に置き換わります。

   ポーリングスケジュールには次のオプションがあります：

   • N 日ごと

     指定した日時から、日単位で指定した間隔ごとにポーリングを定期的に実行します。

     既定では、現在のシステム日時から、1 日ごとにポーリングが実行されます。

   • N 分ごと

     指定した時刻から、分単位で指定した間隔ごとにポーリングを定期的に実行します。

   • 曜日ごと

     指定した曜日（複数可）の指定した時刻にポーリングを定期的に実行します。

   • 毎月、選択した週の指定日

     毎月、指定した週・曜日の指定した時刻にポーリングを定期的に実行します。

   • 未実行のタスクを実行する

     ポーリングの実行がスケジュールされていた時刻に管理サーバーがオフまたは接続できなかった場合は、管理サーバーがオンになった時に即座にポーリングを実行させるか、ポーリングの次回のスケジュールまで待機するかを選択できます。

     このオプションをオンにすると、管理サーバーがオンになるとすぐにポーリングを開始します。

     このオプションをオフにすると、管理サーバーはポーリングの次回のスケジュールまでポーリングの実行を待機します。

     既定では、このオプションはオフです。

   ドメインのセキュリティグループ内のユーザーアカウントを変更した場合、ドメインコントローラーをポーリングしてから 1 時間後に、これらの変更が Kaspersky Security Center Linux に表示されます。

6. ［保存］をクリックして変更を適用します。
7. すぐにポーリングを実行するには、［ポーリングを開始する］をクリックします。

ディストリビューションポイントを使用したドメインコントローラーのポーリング

ディストリビューションポイントを使用してドメインコントローラーをポーリングすることもできます。Windows または Linux ベースの管理対象デバイスは、ディストリビューションポイントとして機能できます。

Linux ディストリビューションポイントの場合、Microsoft Active Directory ドメインコントローラーと Samba ドメインコントローラーのポーリングがサポートされています。
Windows ディストリビューションポイントの場合、Microsoft Active Directory ドメインコントローラーのポーリングのみがサポートされます。
Mac ディストリビューションポイントを使用したポーリングはサポートされていません。

ディストリビューションポイントを使用してドメインコントローラーのポーリングを設定するには：

1. ディストリビューションポイントのプロパティを開きます。
2. ［ドメインコントローラーのポーリング］セクションを選択します。
3. ［ドメインコントローラーのポーリングを有効にする］をオンにします。
4. ポーリングするドメインコントローラーを選択します。

   Linux ディストリビューションポイントを使用する場合は、［指定したドメインのポーリング］セクションで、［追加］をクリックし、ドメインコントローラーのアドレスとユーザー資格情報を指定します。

   Windows ディストリビューションポイントを使用する場合は、次のオプションのいずれかをオンにできます：

   • 現在のドメインのポーリング
   • ドメインフォレスト全体のポーリング
   • 指定したドメインのポーリング
5. 必要に応じて、［ポーリングのスケジュールを設定する］をクリックして、ポーリングスケジュールオプションを指定します。

   ポーリングは、指定されたスケジュールに従ってのみ開始されます。ポーリングを手動で開始することはできません。

ポーリングが完了すると、ドメイン構造が［ドメインコントローラー］セクションに表示されます。

デバイス移動ルールを設定しオンにしている場合、新たに検出されたデバイスは自動的に管理対象デバイスグループに含まれます。移動ルールがオンでない場合、新たに検出されたデバイスは自動的に未割り当てデバイスグループに含まれます。

検出されたユーザーアカウントは、Kaspersky Security Center Web コンソールでのドメイン認証に使用できます。

認証とドメインコントローラーへの接続

ドメインコントローラーへの最初の接続時に、管理サーバーは接続プロトコルを識別します。このプロトコルは、ドメインコントローラーへの今後のすべての接続に使用されます。

ドメインコントローラーへの最初の接続は次のように行われます：

1. 管理サーバーは、TLS 経由でドメインコントローラーへの接続を試行します。

   既定では、証明書の検証は必要ありません。証明書の検証を実施するには、KLNAG_LDAP_TLS_REQCERT フラグを 1 に設定します。

   既定では、証明書チェーンへの接続には、OS に依存する認証局（CA）へのパスが使用されます。KLNAG_LDAP_SSL_CACERT フラグを使用してカスタムパスを指定します。

2. TLS 接続が失敗した場合、管理サーバーは SASL (DIGEST-MD5) 経由でドメインコントローラーへの接続を試行します。
3. SASL (DIGEST-MD5) 接続が失敗した場合、管理サーバーは暗号化されていない TCP 接続での簡易認証を使用してドメインコントローラーに接続します。

klscflag ユーティリティを使用してフラグを設定できます。

コマンドラインを実行し、現在のディレクトリを klscflag ユーティリティのあるディレクトリに変更します。klscflag ユーティリティは、管理サーバーがインストールされているディレクトリにあります。既定のインストールパスは /opt/kaspersky/ksc64/sbin です。
たとえば、次のコマンドは証明書の検証を実施します：

klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1