Процесс подключения KATA по LDAP SSO

Настройка аутентификации с помощью доменных учетных записей позволяет пользователям не вводить данные учетной записи Kaspersky Anti Targeted Attack Platform для подключения к веб-интерфейсу программы.

Для включения аутентификации с помощью доменных учетных записей вам требуется:

• Настроить интеграцию с Active Directory.
• Для настройки интеграции с Active Directory требуется создать keytab-файл, содержащий имя субъекта-службы (далее также "SPN") для сервера Central Node, на котором выполняется настройка интеграции.

Инструкции по созданию keytab-файла, а также включения интеграции с Active Directory в wеb-интерфейсе программы приведены по следующим ссылкам:

• Создание keytab-файла
• Настройка интеграции с Active Directory

Ключевым моментом правильной работы интеграции с Active Directory является настройка клиентских рабочих станций, процесс которой описан далее.

Настройка интеграции KATA – AD

Важно!
Перед выполнением данной интеграции обязательно должны быть выполнены следующие рекомендации:

1. Имя развернутого сервера “Central Node” должно быть полным доменным именем.
   Пример: kata-cn.home.lab
2. Запись A и PTR должна быть установлена ​​для центрального узла в DNS.
3. FQDN имя устройства и создаваемая для него A-запись/PTR-запись на DNS сервере должны совпадать и обязательно имя устройства и DNS запись должны быть в “нижнем регистре”.
   Примечание: имя устройства можно настроить в веб-интерфейсе “Central Node” уже после установки. Для этого авторизуйтесь в системе из-под уз “Administrator”, перейдите в раздел “Параметры -> Сетевые параметры -> Имя сервера (FQDN)”

5. Должен быть открыт доступ по 88/TCP порту от Central Node до Active Directory.

6. Алгоритм шифрования AES256-SHA1 должен быть включен в созданную учетную запись пользователя домена.

7. Пароль, используемый при создании keytab-файла, не должен содержать специальных символов.
Пример: cZ8ckcVPysXOOS7m

Перед выполнением инструкции убедитесь, что имя хоста задано верно и корректно отображается как в web-интерфейсе, так и на DNS.

Добавление LDAP-сервера

1. Создать пользователя в AD
   • Активная опция – Password never expires
   • Активная опция – This account supports Kerberos AES 256bit encryption

2. Создать keytab-файл
   Открыть командную строку от имени администратора и выполнить следующую команду:

ktpass.exe -princ HTTP/kata.sales.lab@<DOMAIN – “SALES.LAB”> -mapuser kata-ldap@<DOMAIN – “SALES.LAB”> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out C:\kata-ldap.keytab

3. Открыть страницу настроек Central Node KATA с правами Администратора. Загрузить keytab-файл

Настройка клиентских рабочих станций для использования SSO

1. Проверить, что сервер KATA доступен по своему доменному имени

   • В cmd.exe выполните команду nslookup
   • Далее в интерфейсе команды проверьте доступность узла KATA по своему доменному имени <Доменное имя сервера KATA>@<Имя домена>

2. Добавьте узел KATA в список сайтов Local Intranet локально через групповые политики.
   Обязательно укажите адрес “Central Node” и выставьте “Значение”.
   Имя значения –https://kata-cn-41.sales.lab
   Значение – “1”
   Нажмите “OK”
   Нажмите “Применить”

   Win+R -> gpedit.msc
   Local Computer Policy -> Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page
   Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка Безопасность -> Список назначений зоны веб-сайтов

3. Примените произведённые изменения в групповых политиках

   • Запустите cmd.exe с правами администратора
   • В cmd.exe выполните команду gpupdate /force

4. Убедитесь, что данные доменного аккаунта созданного в KATA совпадают с данными, введёнными при авторизации на рабочем устройстве
   KATA Domain Account = Windows Domain Account

5. Войдите на web-интерфейс сервера KATA без ввода учётных данных
   В строке браузера введите https://kata.domain.name:8443