Polling del controller di dominio

Espandi tutto | Comprimi tutto

Kaspersky Security Center Linux supporta il polling di un controller di dominio Microsoft Active Directory e di un controller di dominio Samba. Per un controller di dominio Samba, Samba 4 viene utilizzato come controller di dominio Active Directory.

Quando si esegue il polling di un controller di dominio, Administration Server o un punto di distribuzione recuperano le informazioni sulla struttura del dominio, sugli account utente, sui gruppi di protezione e sui nomi DNS dei dispositivi inclusi nel dominio.

È consigliabile utilizzare il polling del controller di dominio se tutti i dispositivi in rete sono membri di un dominio. Se alcuni dei dispositivi in rete non sono inclusi nel dominio, questi dispositivi non possono essere rilevati dal polling del controller di dominio.

Prerequisiti

Prima di eseguire il polling di un controller di dominio, assicurarsi che i seguenti protocolli siano abilitati:

• Simple Authentication and Security Layer (SASL)
• Lightweight Directory Access Protocol (LDAP)

Verificare che le seguenti porte siano disponibili nel dispositivo del controller di dominio:

• 389 per SASL
• 636 per TLS

Polling del controller di dominio tramite Administration Server

Per eseguire il polling di un controller di dominio utilizzando Administration Server:

1. Nel menu principale, passare a Individuazione e distribuzione → Individuazione → Controller di dominio.
2. Fare clic su Impostazioni di polling.

   Viene visualizzata la finestra Impostazioni di polling del controller di dominio.

3. Selezionare l'opzione Abilita polling controller di dominio.
4. In Esegui polling di domini specifici, fare clic su Aggiungi, quindi specificare l'indirizzo e le credenziali utente del controller di dominio.
5. Se necessario, nella finestra Impostazioni di polling del controller di dominio, specificare la pianificazione del polling. Il periodo predefinito è un'ora. I dati ricevuti al successivo polling sostituiscono completamente i dati precedenti.

   Sono disponibili le opzioni di pianificazione di polling seguenti:

   • Ogni N giorni

     Il polling viene eseguito periodicamente, con l'intervallo specificato in giorni, a partire dalla data e dall'ora specificate.

     Per impostazione predefinita, il polling viene eseguito ogni giorno, a partire dalla data e dall'ora di sistema correnti.

   • Ogni N minuti

     Il polling viene eseguito periodicamente, con l'intervallo specificato in minuti, a partire dall'ora specificata.

   • In base ai giorni della settimana

     Il polling viene eseguito periodicamente, nei giorni specificati della settimana, all'ora specificata.

   • Ogni mese nei giorni specificati delle settimane selezionate

     Il polling viene eseguito periodicamente, nei giorni specificati di ogni mese, all'ora specificata.

   • Esegui attività non effettuate

     Se l'Administration Server è spento o non disponibile nel momento in cui è pianificato il polling, l'Administration Server può avviare il polling subito dopo l'accensione o attendere la successiva pianificazione del polling.

     Se questa opzione è abilitata, l'Administration Server avvia il polling subito dopo l'accensione.

     Se questa opzione è disabilitata, l'Administration Server attende la successiva pianificazione del polling.

     Per impostazione predefinita, questa opzione è disabilitata.

   Se si modificano gli account utente in un gruppo di protezione del dominio, queste modifiche verranno visualizzate in Kaspersky Security Center Linux un'ora dopo il polling del controller di dominio.

6. Fare clic su Salva per applicare le modifiche.
7. Se si desidera eseguire immediatamente il polling, fare clic sul pulsante Avvia polling.

Polling del controller di dominio utilizzando un punto di distribuzione

È inoltre possibile eseguire il polling di un controller di dominio utilizzando un punto di distribuzione. Un dispositivo gestito basato su Windows o Linux può fungere da punto di distribuzione.

Per un punto di distribuzione Linux, sono supportati il polling di un controller di dominio Microsoft Active Directory e di un controller di dominio Samba.
Per un punto di distribuzione Windows, è supportato solo il polling di un controller di dominio Microsoft Active Directory.
Il polling con un punto di distribuzione Mac non è supportato.

Per configurare il polling del controller di dominio utilizzando il punto di distribuzione:

1. Aprire le proprietà del punto di distribuzione.
2. Selezionare la sezione Polling del controller di dominio.
3. Selezionare l'opzione Abilita polling controller di dominio.
4. Selezionare il controller di dominio di cui si desidera eseguire il polling.

   Se si utilizza un punto di distribuzione Linux, nella sezione Esegui polling di domini specifici, fare clic su Aggiungi, quindi specificare l'indirizzo e le credenziali utente del controller di dominio.

   Se si utilizza un punto di distribuzione Windows, è possibile selezionare una delle seguenti opzioni:

   • Esegui polling dominio corrente
   • Esegui polling di tutta la foresta di dominio
   • Esegui polling di domini specifici
5. Fare clic sul pulsante Imposta pianificazione di polling per specificare le opzioni di pianificazione del polling, se necessario.

   Il polling viene avviato solo in base alla pianificazione specificata. L'avvio manuale del polling non è disponibile.

Al termine del polling, la struttura del dominio verrà visualizzata nella sezione Controller di dominio.

Se sono installate e attivate le regole di spostamento dei dispositivi, i nuovi dispositivi individuati vengono automaticamente inclusi nel gruppo Dispositivi gestiti. Se non sono state abilitate regole di spostamento, i nuovi dispositivi individuati vengono automaticamente inclusi nel gruppo Dispositivi non assegnati.

Gli account utente rilevati possono essere utilizzati per l'autenticazione del dominio in Kaspersky Security Center Web Console.

Autenticazione e connessione a un controller di dominio

Al momento della connessione iniziale al controller di dominio, Administration Server identifica il protocollo di connessione. Questo protocollo viene utilizzato per tutte le connessioni future al controller di dominio.

La connessione iniziale a un controller di dominio procede come segue:

1. Administration Server tenta di connettersi al controller di dominio tramite TLS.

   Per impostazione predefinita, la verifica del certificato non è richiesta. Impostare il contrassegno KLNAG_LDAP_TLS_REQCERT su 1 per applicare la verifica del certificato.

   Per impostazione predefinita, per accedere alla catena di certificati viene utilizzato il percorso dipendente dal sistema operativo dell'autorità di certificazione (CA). Utilizzare il contrassegno KLNAG_LDAP_SSL_CACERT per specificare un percorso personalizzato.

2. Se la connessione TLS non riesce, Administration Server tenta di connettersi al controller di dominio tramite SASL (DIGEST-MD5).
3. Se la connessione SASL (DIGEST-MD5) non riesce, Administration Server utilizza l'autenticazione semplice tramite una connessione TCP non criptata per connettersi al controller di dominio.

È possibile utilizzare l'utilità klscflag per configurare i contrassegni.

Eseguire la riga dei comandi, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella directory in cui è installato Administration Server. Il percorso di installazione predefinito è /opt/kaspersky/ksc64/sbin.
Ad esempio, il seguente comando applica la verifica del certificato:

klscflag -fset -pv klserver -n KLNAG_LDAP_TLS_REQCERT -t d -v 1