# Инструкции по настройке # Инструкция как получить доступ по SSH к KSMG

****Информация:**** Приведенная на данной странице информация, является разработкой команды ****pre-sales**** и/или ****AntiAPT Community**** и ****НЕ**** ****является**** официальной рекомендацией вендора.

- ****Версия решения:**** 3.0 - ****Тип инструкции:**** Инструкция как получить доступ по SSH к KSMG #### ****Описание задачи**** KSMG администратор может подключиться к любой ноде по протоколу SSH, чтобы работать с программой в Technical Support Mode, используя командную строку. Чтобы это реализовать необходимо сгенерировать SSH ключи, загрузить SSH публичный ключ в программу используя веб-интерфейс. После установки ключа на сервер с главной нодой, он будет распространен и сохранен на другие, связанные с ней, KSMG ноды.

****В данной инструкции используется программа PuTTY.****

****Вы можете использовать любой другой аналог.****

---
Создание пары ключей 1. Скачайте PuTTY, зайдите в папку, куда установилась ****PuTTY****, запустите ****PuTTYgen****. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-12/scaled-1680-/CRewaB7M4FWrALCR-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-12/CRewaB7M4FWrALCR-image.png) 📸 ****Скриншот 1:**** Экран "****Выбор приложения****" 2. Проверьте эти параметры: ****Type of key to generate********RSA****, ****Number of bits in a generated key********2048****. Нажмите ****Generate****. Двигайте мышкой случайным образом, пока не заполнится шкала ****key****. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-12/scaled-1680-/8aDC3TXNGv3j37it-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-12/8aDC3TXNGv3j37it-image.png) 📸 ****Скриншот 2:**** Экран "****Генерация ключа****" 3. Укажите ****passphrase****. Введите такое же кодовое слово в ****Confirm passphrase****. Затем нажмите ****Save private key****, и укажите имя и место сохранения. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-12/scaled-1680-/pzS8BuiW7h1hS9Hh-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-12/pzS8BuiW7h1hS9Hh-image.png) 📸 ****Скриншот 3:**** Экран "****Сохранение ключа****" 4. Скопируйте публичный ключ, он находится в поле ****Public key for pasting into OpenSSH authorized\_keys file****. 5. Переместитесь в веб-интерфейс KSMG. Перейдите ****Параметры** **→** **Доступ по SSH** **→** **Добавить ключ****. Заполните поле "****Описание****" и вставьте скопированный ключ в поле "****Данные ключа"****. Нажмите "****Добавить****". [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-12/scaled-1680-/gr2dkknsZdoQbPfb-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-12/gr2dkknsZdoQbPfb-image.png) 📸 ****Скриншот 4:**** Экран "****Загрузка ключа****"
---
Соединение KSMG используя SSH 1. Запустите ****PuTTY****. Перейдите по вкладкам ****Connection** **→** **SSH** **→** **Auth****. В поле справа выберете сохраненный файл закрытого ключа. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-12/scaled-1680-/TOruktlrq3Qrn72p-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-12/TOruktlrq3Qrn72p-image.png) 📸 ****Скриншот 5:**** Экран "****Применение ключа****" 2. Перейдите во вкладку ****Session****. Введите в полях: Host Name (or IP adderss) - ****IP-адрес KSMG****, Port – 22, Connection type – SSH. Нажмите ****Open****. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-12/scaled-1680-/Fpi63IPG0xVC4fTT-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-12/Fpi63IPG0xVC4fTT-image.png) 📸 ****Скриншот 6:**** Экран "****По****д****ключение к KSMG по SSH****" 3. Нажмите ****Accept****. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-12/scaled-1680-/KNWDH9b2SD4KVdqk-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-12/KNWDH9b2SD4KVdqk-image.png) 📸 ****Скриншот 7:**** Экран "****Подтвердите подключение к KSMG по SSH****" 4. Введите Login as – ****root****, Passphrase for key ту, которую указывали при генерации ключа. Вы успешно подключились. [![image.png](https://antiapt-community.ru/uploads/images/gallery/2025-12/scaled-1680-/KSjSqj38BOkSpfBs-image.png)](https://antiapt-community.ru/uploads/images/gallery/2025-12/KSjSqj38BOkSpfBs-image.png) 📸 ****Скриншот 8:**** Экран "****Подтвердите подключение к KSMG по SSH****"
--- # Интеграция LDAP и аутентификация с помощью технологии единого входа
Настройка аутентификации с помощью доменных учетных записей позволяет пользователям не вводить данные учетной записи Kaspersky Secure Mail Gateway для подключения к веб-интерфейсу программы.

Данная статья описывает процесс настройки интеграции LDAP

Подготовка корпоративной инфраструктуры
Дополнительные требования к keytab-файлу
Настройка LDAP

ВАЖНО! Перед выполнением инструкции убедитесь, что имя хоста задано верно и корректно отображается как в web-интерфейсе, так и при доступе через SSH.

Имя хоста, отображаемое в web-интерфейсе Имя хоста, отображаемое в консоле
  1. Создайте пользователя в AD.Название картинки
  2. Создайте keytab-файл.
    Создание keytab-файла
    C:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) Управляющего узла>@<realm имя домена Active Directory в верхнем регистре> -mapuser control-user@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <путь к файлу>\<имя файла>.keytab
  3. Загрузите keytab-файл на странице настроек ноды KSMG.
    Загрузка keytab-файлаЗагрузка keytab-файлаСинхронизация происходит раз в 30 минут. Статус синхронизации можно посмотреть в разделе Nodes:Статус синхронизацииCинхронизация узлов кластера KSMG по LDAP происходит независимо, то есть для них можно использовать одну и ту же учётную запись и keytab-файл.
    Если синхронизация по каким-то причинам не происходит, KSMG будет использовать информацию из кэша (кэш удаляется только если удалить LDAP-соединение).
Настройка SSO
  1. Создайте другого пользователя в AD.
    Название картинкиНазвание картинки
  2. Создайте keytab-файл.
    Создание keytab-файла
    C:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) Управляющего узла>@<realm имя домена Active Directory в верхнем регистре> -mapuser ksmg-sso@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <пароль пользователя ksmg-sso - пример cZ8ckcVPysXOOS7m> +dumpsalt -out <путь к файлу>\<имя файла>.keytab
  3. Загрузите keytab-файл на странице настроек ноды KSMG.
    Перейти в раздел Settings | Application access | Single Sign-On login
Настройка Kerberos-аутентификации для кластера (опционально)
  1. Создайте keytab-файл.
    Создание keytab-файла
    C:\Windows\system32\ktpass.exe -princ HTTP/control-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out C:\keytabs\filename1.keytab
  2. Добавьте SPN второго узла в тот же keytab-файла.
    Добавление SPN второго узла в keytab-файл
    Для каждого узла кластера добавьте в keytab-файл запись SPN. Для этого выполните следующую команду:
    C:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) узла>@<realm имя домена Active Directory в верхнем регистре> -mapuser secondary1-user@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <путь и имя ранее созданного файла>.keytab -out <путь и новое имя>.keytab
Настройка клиентских рабочих станций для использования SSO
  1. Проверьте, что узлы KSMG доступны по своим доменным именам.Название картинки
  2. Добавьте узлы KSMG в список сайтов Local intranet. Вариант 2, локально через групповые политики.
    Win+r → gpedit.mscНазвание картинки
  3. Добавьте узлы KSMG в список сайтов Local Intranet.
    Изменение групповой политики → Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Internet Explorer → Панель управления браузером → Вкладка «Безопасность» → Список назначений зоны веб-сайтов
    (Local Computer Policy → Computer Configuration → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page)Название картинкиНазвание картинкиНазвание картинки
  4. Примените произведённые изменения в групповых политиках.Название картинки
  5. Назначьте роль Viewer или Superuser доменному пользователю, указав его учётную запись.Название картинки
  6. Авторизуйтесь на рабочей станции, использую указанную в предыдущем пункте учётную запись и перейдите в web-интерфейс KSMG, введя в строке браузера его доменное имя.
    https://ksmg.sales.lab/
    Вход будет осуществлён без использования логина и пароля
# Интеграция KSMG с KATA ## Введение ****Kaspersky Secure Mail Gateway (KSMG)**** — защищает корпоративную почту от спама, фишинга, вредоносных вложений и целевых атак. ****Kaspersky Anti Targeted Attack Platform (KATA)**** — обнаруживает и предотвращает целевые атаки, APT-угрозы и сложные инциденты в корпоративной инфраструктуре. Интеграция этих решений позволяет: - Передавать письма из KSMG на анализ в KATA. - Получать вердикт от KATA и автоматически блокировать, помещать в карантин или помечать письма. - Увеличить уровень защиты почтовой системы от сложных угроз. --- ## Возможности интеграции KSMG может быть настроен для работы с KATA в двух режимах: 1. ****Подключение к одному серверу KATA**** — указывается IP/FQDN Central Node. 2. ****Подключение к нескольким серверам с балансировкой**** **(KATA 5.0+)** — автоматическое распределение нагрузки и переключение при отказе. В этой статье разбираем ****вариант с одним сервером****. --- ## Пошаговая настройка интеграции ### ****Шаг 1. Настройка KSMG**** 1. Войдите в веб-интерфейс KSMG. 2. Перейдите в: ****Параметры → Внешние службы → Защита KATA**** ![Добавление сервера КАТА.png](https://antiapt-community.ru/uploads/images/gallery/2025-08/scaled-1680-/dobavlenie-servera-kata.png) *****На скриншоте показан раздел, где настраивается подключение KATA.***** 3. Нажмите ****Добавить сервер KATA****. ![Пропишите «IP-адрес» сервера КАТА .png](https://antiapt-community.ru/uploads/images/gallery/2025-08/scaled-1680-/propisite-ip-adres-servera-kata.png) *****В этом окне задаются IP/FQDN и порт подключения к KATA.***** 4. Введите: - ****IP-адрес или FQDN**** Central Node. - ****Порт**** (по умолчанию `443`). 5. Нажмите ****Далее**** — появится окно с сертификатом. ![0.png](https://antiapt-community.ru/uploads/images/gallery/2025-08/scaled-1680-/0.png) [![Внешние системы.png](https://antiapt-community.ru/uploads/images/gallery/2025-08/scaled-1680-/vnesnie-sistemy.png)](http://62.113.113.15/uploads/images/gallery/2025-08/scaled-1680-/vnesnie-sistemy.png) *****Проверьте отпечаток SHA256 и подтвердите.***** 6. Активируйте опции: - `Отправлять на сервер KATA сообщения без обнаружений` — для полной проверки. - `Отправлять на сервер KATA сообщения с обнаружениями` — для дополнительного анализа подозрительных писем. 7. Настройте лимиты: - ****Время ожидания ответа****: `600 сек` (от 60 до 86400). - ****Размер карантина****: `1024 МБ` (от 1 МБ). - ****Максимум писем в карантине****: `5000` (от 1 до 4 294 967 296). 8. Сохраните изменения. --- ### ****Шаг 2. Авторизация KSMG в KATA**** 1. Войдите в веб-интерфейс ****Central Node KATA****. 2. Перейдите в раздел ****Внешние системы****. 3. Найдите KSMG и подтвердите запрос на авторизацию. ![Внешние системы.png](https://antiapt-community.ru//uploads/images/gallery/2025-08/scaled-1680-/vnesnie-sistemy.png) *****После подтверждения статус изменится на «Авторизован».***** --- ### ****Шаг 3. Настройка правил KSMG**** 1. Перейдите в раздел ****Правила****. 2. Выберите нужное правило и нажмите ****Изменить****. 3. Включите опцию ****Защита KATA****. ![Защита KATA.png](https://antiapt-community.ru/uploads/images/gallery/2025-08/scaled-1680-/zashhita-kata.png) *****Опция включает проверку всех писем по этому правилу в KATA.***** 4. Настройте действия: Удалить сообщение, Отклонить, Пропустить. 5. Сохраните правило. --- ## Проверка работоспособности 1. Отправьте тестовое письмо (например, с EICAR-файлом). 2. Убедитесь, что: - Письмо отправилось на проверку в KATA. - В KATA появился вердикт. - KSMG выполнил заданное действие. --- ## Рекомендации - Включайте ****проверку всех писем**** для максимальной защиты. - Следите за заполнением карантина. - При высокой нагрузке используйте ****кластер KATA****. - Периодически проверяйте журналы событий KSMG и KATA. - Обновляйте версии ПО для получения актуальных алгоритмов анализа. ---