認証とドメインコントローラーへの接続
ドメインをポーリングする際の認証とドメインコントローラーへの接続
ドメインコントローラーをポーリングする時、管理サーバーまたはディストリビューションポイントは、ドメインコントローラーへの初期接続を確立するための接続プロトコルを識別します。このプロトコルは、ドメインコントローラーへの今後のすべての接続に使用されます。ドメインコントローラーへの初期接続を確立する時に、ネットワークエージェントフラグ(KLNAG_LDAP_TLS_REQCERT および KLNAG_LDAP_SSL_CACERT)を使用して接続オプションを変更できます。この記事で説明されているように、klscflag を使用してネットワークエージェントフラグを構成できます。
ドメインコントローラーへの最初の接続は次のように行われます:
- 管理サーバーまたはディストリビューションポイントは、LDAPS 経由でドメインコントローラーに接続しようとします。
既定では、証明書の検証は必要ありません。証明書の検証を実施するには、
KLNAG_LDAP_TLS_REQCERTフラグを 1 に設定します。KLNAG_LDAP_TLS_REQCERT_AUTHフラグに指定できる値:0- 証明書が要求されますが、証明書が提供されない場合や証明書の検証が失敗した場合でも、TLS 接続は正常に作成されたと判断されます(既定値)。1- LDAP サーバー証明書の厳密な検証が必要です。
既定では、KLNAG_LDAP_SSL_CACERT フラグが指定されていない場合、OS 依存の認証局(CA)へのパスが証明書チェーンへのアクセスに使用されます。
KLNAG_LDAP_SSL_CACERTフラグを使用してカスタムパスを指定します。 - LDAPS 接続が失敗した場合、管理サーバーまたはディストリビューションポイントは、SASL(DIGEST-MD5)を使用して、暗号化されていない TCP 接続経由でドメインコントローラーに接続しようとします。
管理サーバーにドメインユーザーを認証する際の認証とドメインコントローラーへの接続
ドメインユーザーが管理サーバー上で認証すると、管理サーバーはドメインコントローラーへの接続を確立するためのプロトコルを識別します。
ドメインコントローラーへの接続は次のように行われます:
- 管理サーバーは、LDAPS 経由でドメインコントローラーへの接続を試行します。
LDAP サーバー証明書の厳密な検証が必要です。
既定では、KLNAG_LDAP_SSL_CACERT フラグが指定されていない場合、OS 依存の認証局(CA)へのパスが証明書チェーンへのアクセスに使用されます。
KLNAG_LDAP_SSL_CACERTフラグを使用してカスタムパスを指定します。 - LDAPS 接続が失敗すると、ドメインコントローラーへの接続エラーが発生し、他の接続プロトコルは使用されません。
フラグの設定
klscflag ユーティリティを使用してフラグを設定できます。
コマンドラインを実行し、現在のディレクトリを klscflag ユーティリティのあるディレクトリに変更します。管理サーバーデバイスでは、klscflag ユーティリティはインストールディレクトリにあります。既定のインストールパスは /opt/kaspersky/ksc64/sbin です。
たとえば、次のコマンドは証明書の検証を強制します:
klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT -t d -v 1