Sondagem do controlador de domínio

Suporte

Suporte para Empresas

Kaspersky Security Center 15 Linux

Localizar dispositivos na rede

Sondagem do controlador de domínio

24 de abril de 2024

ID 257877

Salvar como PDF

Expandir tudo | Recolher tudo

O Kaspersky Security Center Linux é compatível com a sondagem de um controlador de domínio do Microsoft Active Directory e um controlador de domínio Samba. Para um controlador de domínio Samba, o Samba 4 é usado como um controlador de domínio do Active Directory.

Ao fazer a sondagem de um controlador de domínio, o Servidor de Administração ou um ponto de distribuição recupera as informações sobre a estrutura do domínio, contas de usuário, grupos de segurança e nomes DNS dos dispositivos incluídos no domínio.

Recomendamos usar a sondagem do controlador de domínio se todos os dispositivos em rede forem membros de um domínio. Caso alguns dos dispositivos em rede não estejam incluídos no domínio, esses dispositivos não poderão ser descobertos pela sondagem do controlador de domínio.

Pré-requisitos

Antes de fazer a sondagem de um controlador de domínio, verifique e confirme se os seguintes protocolos estão ativados:

Simple Authentication and Security Layer (SASL)
Lightweight Directory Access Protocol (LDAP)

Verifique e confirme se as seguintes portas estão disponíveis no dispositivo controlador de domínio:

389 para SASL
636 para TLS

A sondagem do controlador de domínio com o uso do Servidor de Administração

Para sondar um controlador de domínio com o uso do Servidor de Administração:

No menu principal, vá para Descoberta e implementação → Descoberta → Controladores de domínio.
Clique em Configurações de sondagem.
A janela Configurações de sondagem do controlador de domínio é exibida.
Selecione a opção Ativar sondagem do controlador de domínio.
Em Sondar domínios especificados, clique em Adicionar e especifique o endereço e as credenciais de usuário do controlador de domínio.
Caso seja necessário, na janela Configurações de sondagem do controlador de domínio, especifique o agendamento de sondagem. O período padrão é de uma hora. Os dados recebidos na próxima sondagem substituem completamente os dados antigos.
As seguintes opções de agendamento da sondagem estão disponíveis:
- A cada N dias
  
  A sondagem é executada regularmente, com o intervalo especificado em dias, iniciando na data e hora especificadas.
  
  Por padrão, a sondagem é executada todos os dias, iniciando na data e hora atuais do sistema.
- A cada N minutos
  
  A sondagem é executada regularmente, com o intervalo especificado em minutos, iniciando na hora especificada.
- Por dias da semana
  
  A sondagem é executada regularmente, nos dias da semana e na hora especificados.
- Todos os meses em dias especificados das semanas selecionadas
  
  A sondagem é executada regularmente, nos dias de cada mês e na hora especificados.
- Executar tarefas ignoradas
  
  Se o Servidor de Administração estiver desligado ou indisponível durante o tempo no qual a sondagem está agendada, o Servidor de Administração pode iniciar a sondagem imediatamente após ser ligado ou esperar até a próxima vez em que a sondagem estiver agendada.
  
  Se esta opção estiver ativada, o Servidor de Administração inicia a sondagem imediatamente após ser ligado.
  
  Se esta opção estiver desativada, o Servidor de Administração espera até a próxima em que a sondagem estiver agendada.
  
  Por padrão, esta opção está desativada.
Caso as contas de usuário sejam alteradas em um grupo de segurança do domínio, essas alterações serão exibidas no Kaspersky Security Center Linux uma hora após a sondagem do controlador de domínio.
Clique em Salvar para aplicar as alterações.
Caso queira executar a sondagem imediatamente, clique no botão Iniciar sondagem.

A sondagem do controlador de domínio com o uso de um ponto de distribuição

Também é possível sondar um controlador de domínio com o uso de um ponto de distribuição. Um dispositivo gerenciado baseado em Windows ou Linux pode atuar como um ponto de distribuição.

Para um ponto de distribuição do Linux, há suporte para a sondagem de um controlador de domínio do Microsoft Active Directory e de um controlador de domínio Samba.
Para um ponto de distribuição do Windows, apenas a sondagem de um controlador de domínio do Microsoft Active Directory é compatível.
A sondagem com um ponto de distribuição Mac não é compatível.

Para configurar a sondagem do controlador de domínio com o uso do ponto de distribuição:

Abra as propriedades do ponto de distribuição.
Selecione a seção Sondagem do controlador de domínio.
Selecione a opção Ativar sondagem do controlador de domínio.
Selecione o controlador de domínio que deseja sondar.
Caso queira usar um ponto de distribuição do Linux, na seção Sondar domínios especificados, clique em Adicionar e especifique o endereço e as credenciais de usuário do controlador de domínio.

Se você usar um ponto de distribuição do Windows, poderá selecionar uma das seguintes opções:
- Sondar domínio atual
- Sondar toda a floresta de domínios
- Sondar domínios especificados
Clique no botão Definir agendamento da sondagem para especificar as opções de agendamento de sondagem, caso seja necessário.
A sondagem é iniciada de acordo com o agendamento especificado apenas. O início manual da sondagem não está disponível.

Após a conclusão da sondagem, a estrutura do domínio será exibida na seção Controladores de domínio.

Se você tiver configurado e ativado as regras para migrar dispositivos, os dispositivos recentemente descobertos estarão automaticamente incluídos no grupo Dispositivos gerenciados. Se nenhuma regra de movimento tiver sido ativada, os dispositivos recentemente descobertos serão automaticamente incluídos no grupo Dispositivos não atribuídos.

As contas de usuário descobertas podem ser usadas para autenticação de domínio no Kaspersky Security Center Web Console.

Autenticação e conexão com um controlador de domínio

Na conexão inicial com o controlador de domínio, o Servidor de Administração identifica o protocolo de conexão. Esse protocolo é usado para todas as conexões futuras com o controlador de domínio.

A conexão inicial com um controlador de domínio prossegue da seguinte forma:

O Servidor de Administração tenta se conectar ao controlador de domínio via TLS.
Por padrão, a verificação do certificado não é necessária. Defina o sinalizador KLNAG_LDAP_TLS_REQCERT como 1 para impor a verificação do certificado.

Por padrão, o caminho dependente do SO para a autoridade de certificação (CA) é usado para acessar a cadeia de certificados. Use o sinalizador KLNAG_LDAP_SSL_CACERT para especificar um caminho personalizado.
Se a conexão TLS falhar, o Servidor de Administração tentará se conectar ao controlador de domínio via SASL (DIGEST-MD5).
Se a conexão SASL (DIGEST-MD5) falhar, o Servidor de Administração usará a Autenticação Simples sobre uma conexão TCP não criptografada para conectar-se ao controlador de domínio.

É possível usar o utilitário klscflag para configurar sinalizadores.

Execute a linha de comando e, em seguida, altere o diretório atual para o diretório com o utilitário klscflag. O utilitário klscflag está localizado no diretório no qual o Servidor de Administração está instalado. O caminho de instalação padrão é /opt/kaspersky/ksc64/sbin.
Por exemplo, o seguinte comando impõe a verificação do certificado:

klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1

Kaspersky Endpoint Security for Linux: High protection without performance compromising

Detects and blocks advanced threats. Buy as part of Endpoint Security for Business Advanced.

Kaspersky Premium Support (MSA): High‑priority incident processing

Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).

Este artigo foi útil?

O que podemos melhorar?

Agradecemos o seu comentário! Ele nos ajuda a melhorar.