Skip to main content

Процесс подключения KATA по LDAP SSO

Настройка аутентификации с помощью доменных учетных записей позволяет пользователям не вводить данные учетной записи Kaspersky Anti Targeted Attack Platform для подключения к веб-интерфейсу программы.

Для включения аутентификации с помощью доменных учетных записей вам требуется:

·

  • Настроить интеграцию с Active Directory.
    • Directory.

    ·        

  • Для настройки интеграции с Active Directory Directory требуется создать keytab-keytab-файл, содержащий имя субъекта-службы (далее также "SPNSPN"") для сервера Central Node Node, на котором выполняется настройка интеграции.

Инструкции по созданию keytab-keytab-файла, а также включения интеграции с Active Directory в wеb-wеb-интерфейсе программы приведены по следующим ссылкам:

·

·      https://support.kaspersky.com/KATA/6.0/ru-RU/247461.htm

Ключевым моментом правильной работы интеграции с Active Directory является настройка клиентских рабочих станций, процесс которой описан далее.

 

 

Настройка интеграции KATAADAD

 

Важно!


Перед выполнением данной интеграции обязательно должны быть выполнены следующие рекомендации:

1.

  1. Имя развернутого сервера “Central NodeNode” должно быть полным доменным именем.


    Пример: kata-cn.home.lab

    1. Запись A и PTR должна быть установлена ​​для центрального узла в DNS.

    3.      

  2. FQDN имя устройства и создаваемая для него A-запись/PTR-запись на DNS сервере должны совпадать и обязательно имя устройства и DNS запись должны быть в “нижнем регистре”.


    Примечание: имя устройства можно настроить в веб-интерфейсе “Central NodeNode” уже после установки. Для этого авторизуйтесь в системе из-под уз “AdministratorAdministrator”, перейдите в раздел “Параметры à-> Сетевые параметры à-> Имя сервера (FQDN)FQDN)

    image.png

    3.  

    4.      

  3. Должен быть открыт доступ по 88/TCP порту от Central Node до Active Directory.

    Directory.

    4. 5.      

  4. Алгоритм шифрования AES256-SHA1 должен быть включен в созданную учетную запись пользователя домена.

    5. 6.      

  5. Пароль, используемый при создании keytab-файла, не должен содержать специальных символов.
    Пример: cZ8ckcVPysXOOS7m

Перед выполнением инструкции убедитесь, что имя хоста задано верно и корректно отображается как в web-интерфейсе, так и на DNS.DNS.

 

 

Добавление LDAP-сервера

  • Создать пользователя в AD

    		•

    ·        

  • Активная опция – Password never expires

    • · 

  • Активная опцияThis account supports Kerberos AES 256bit encryption

    image.png

  • Создать keytab-файл


    		•

    Открыть командную строку от имени администратора и выполнить следующую команду:

    ktpass.exe -princ HTTP/kata.sales.lab@lab@<DOMAIN – “SALES.LAB”> -mapuser kata-ldap@ldap@<DOMAIN – “SALES.LAB”> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out C:\kata-ldap.ldap.keytab

  • Открыть страницу настроек Central Node KATA с правами Администратора. Загрузить keytab-файл

    		•

     


     

     

    Настройка клиентских рабочих станций для использования SSO

    1.  

    Проверить, что сервер KATA доступен по своему доменному имени

    ·        

  • В cmd.exe выполните команду nslookup

    • ·        

  • Далее в интерфейсе команды проверьте доступность узла KATA по своему доменному имени <Доменное имя сервера KATA>@<Имя домена>

    		•

  • Добавьте узел KATA в список сайтов Local Intranet локально через групповые политики.

    Обязательно укажите адрес “Central NodeNode” и выставьте “Значение”.


    Имя значения –https://kata-cn-41.sales.lab


    Значение – “1

    1”

    Нажмите “OK

    OK”

    Нажмите “Применить”

    		•

    Win+R à gpedit.msc

    Win+R

    ->

    gpedit.msc
    Local Computer Policy     à-> Computer Configuration à-> Administrative Templates à-> Windows Components à-> Internet Explorer à-> Internet Control Panel à-> Security Page


    Конфигурация компьютера à-> Административные шаблоны à-> Компоненты Windows à-> Internet Explorer à-> Панель управления браузером à-> Вкладка «Безопасность à-> Список назначений зоны веб-сайтов

  • Примените произведённые изменения в групповых политиках

    		•

    ·        

  • Запустите cmd.exe с правами администратора

    • ·        

  • В cmd.exe выполните команду gpupdate /force

  •  

    • Убедитесь,  что данные доменного аккаунта созданного в  KATA совпадают с данными, введёнными при авторизации на рабочем устройстве

    ·         KATA Domain Account = Windows Domain Account

  • Войдите на web-интерфейс сервера KATA без ввода учётных данных

    		•

    ·         В строке браузера введите https://kata.domain.name:8443

     

     

     

     

     

    Back to top