Kaspersky Security Center

Sondagem do controlador de domínio

5 de abril de 2024

ID 257877

Expandir tudo | Recolher tudo

O Kaspersky Security Center Linux é compatível com a sondagem de um controlador de domínio do Microsoft Active Directory e um controlador de domínio Samba. Para um controlador de domínio Samba, o Samba 4 é usado como um controlador de domínio do Active Directory.

Ao fazer a sondagem de um controlador de domínio, o Servidor de Administração ou um ponto de distribuição recupera as informações sobre a estrutura do domínio, contas de usuário, grupos de segurança e nomes DNS dos dispositivos incluídos no domínio.

Recomendamos usar a sondagem do controlador de domínio se todos os dispositivos em rede forem membros de um domínio. Caso alguns dos dispositivos em rede não estejam incluídos no domínio, esses dispositivos não poderão ser descobertos pela sondagem do controlador de domínio.

Pré-requisitos

Antes de fazer a sondagem de um controlador de domínio, verifique e confirme se os seguintes protocolos estão ativados:

  • Simple Authentication and Security Layer (SASL)
  • Lightweight Directory Access Protocol (LDAP)

Verifique e confirme se as seguintes portas estão disponíveis no dispositivo controlador de domínio:

  • 389 para SASL
  • 636 para TLS

A sondagem do controlador de domínio com o uso do Servidor de Administração

Para sondar um controlador de domínio com o uso do Servidor de Administração:

  1. No menu principal, vá para Descoberta e implementaçãoDescobertaControladores de domínio.
  2. Clique em Configurações de sondagem.

    A janela Configurações de sondagem do controlador de domínio é exibida.

  3. Selecione a opção Ativar sondagem do controlador de domínio.
  4. Em Sondar domínios especificados, clique em Adicionar e especifique o endereço e as credenciais de usuário do controlador de domínio.
  5. Caso seja necessário, na janela Configurações de sondagem do controlador de domínio, especifique o agendamento de sondagem. O período padrão é de uma hora. Os dados recebidos na próxima sondagem substituem completamente os dados antigos.

    As seguintes opções de agendamento da sondagem estão disponíveis:

    • A cada N dias
    • A cada N minutos
    • Por dias da semana
    • Todos os meses em dias especificados das semanas selecionadas
    • Executar tarefas ignoradas

    Caso as contas de usuário sejam alteradas em um grupo de segurança do domínio, essas alterações serão exibidas no Kaspersky Security Center Linux uma hora após a sondagem do controlador de domínio.

  6. Clique em Salvar para aplicar as alterações.
  7. Caso queira executar a sondagem imediatamente, clique no botão Iniciar sondagem.

A sondagem do controlador de domínio com o uso de um ponto de distribuição

Também é possível sondar um controlador de domínio com o uso de um ponto de distribuição. Um dispositivo gerenciado baseado em Windows ou Linux pode atuar como um ponto de distribuição.

Para um ponto de distribuição do Linux, há suporte para a sondagem de um controlador de domínio do Microsoft Active Directory e de um controlador de domínio Samba.
Para um ponto de distribuição do Windows, apenas a sondagem de um controlador de domínio do Microsoft Active Directory é compatível.
A sondagem com um ponto de distribuição Mac não é compatível.

Para configurar a sondagem do controlador de domínio com o uso do ponto de distribuição:

  1. Abra as propriedades do ponto de distribuição.
  2. Selecione a seção Sondagem do controlador de domínio.
  3. Selecione a opção Ativar sondagem do controlador de domínio.
  4. Selecione o controlador de domínio que deseja sondar.

    Caso queira usar um ponto de distribuição do Linux, na seção Sondar domínios especificados, clique em Adicionar e especifique o endereço e as credenciais de usuário do controlador de domínio.

    Se você usar um ponto de distribuição do Windows, poderá selecionar uma das seguintes opções:

    • Sondar domínio atual
    • Sondar toda a floresta de domínios
    • Sondar domínios especificados
  5. Clique no botão Definir agendamento da sondagem para especificar as opções de agendamento de sondagem, caso seja necessário.

    A sondagem é iniciada de acordo com o agendamento especificado apenas. O início manual da sondagem não está disponível.

Após a conclusão da sondagem, a estrutura do domínio será exibida na seção Controladores de domínio.

Se você tiver configurado e ativado as regras para migrar dispositivos, os dispositivos recentemente descobertos estarão automaticamente incluídos no grupo Dispositivos gerenciados. Se nenhuma regra de movimento tiver sido ativada, os dispositivos recentemente descobertos serão automaticamente incluídos no grupo Dispositivos não atribuídos.

As contas de usuário descobertas podem ser usadas para autenticação de domínio no Kaspersky Security Center Web Console.

Autenticação e conexão com um controlador de domínio

Na conexão inicial com o controlador de domínio, o Servidor de Administração identifica o protocolo de conexão. Esse protocolo é usado para todas as conexões futuras com o controlador de domínio.

A conexão inicial com um controlador de domínio prossegue da seguinte forma:

  1. O Servidor de Administração tenta se conectar ao controlador de domínio via TLS.

    Por padrão, a verificação do certificado não é necessária. Defina o sinalizador KLNAG_LDAP_TLS_REQCERT como 1 para impor a verificação do certificado.

    Por padrão, o caminho dependente do SO para a autoridade de certificação (CA) é usado para acessar a cadeia de certificados. Use o sinalizador KLNAG_LDAP_SSL_CACERT para especificar um caminho personalizado.

  2. Se a conexão TLS falhar, o Servidor de Administração tentará se conectar ao controlador de domínio via SASL (DIGEST-MD5).
  3. Se a conexão SASL (DIGEST-MD5) falhar, o Servidor de Administração usará a Autenticação Simples sobre uma conexão TCP não criptografada para conectar-se ao controlador de domínio.

É possível usar o utilitário klscflag para configurar sinalizadores.

Execute a linha de comando e, em seguida, altere o diretório atual para o diretório com o utilitário klscflag. O utilitário klscflag está localizado no diretório no qual o Servidor de Administração está instalado. O caminho de instalação padrão é /opt/kaspersky/ksc64/sbin.
Por exemplo, o seguinte comando impõe a verificação do certificado:

klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

Este artigo foi útil?
O que podemos melhorar?
Agradecemos o seu comentário! Ele nos ajuda a melhorar.
Agradecemos o seu comentário! Ele nos ajuda a melhorar.