KSMG Установка и обновление Обновление KSMG до версии 3.0 Инструкция по обновлению Kaspersky Secure Mail Gateway 2.1.1 до версии Kaspersky Secure Mail Gateway 3.0 Информация:  Приведенная на данной странице инфомрация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора. Версия решения: 3.0 Тип инструкции: Пошаговое руководство по обновлению кластера KSMG 1. Подготовка к обновлению 1.1. Обязательные действия Перед началом обновления выполните следующие шаги: ✅ Скачайте пакет обновления с официального сайта . ✅ Создайте резервную копию: В VMware ESXi/vSphere — создайте Snapshot всей виртуальной машины. В веб-интерфейсе KSMG — выполните Экспорт параметров согласно инструкции . ✅ Убедитесь, что балансировка почтового трафика настроена корректно и вы готовы временно отключать узлы от обработки трафика. ⚠️ ВАЖНО: Все вручную внесённые изменения в шаблоны конфигурационных файлов будут утеряны при обновлении. Их необходимо будет восстановить после обновления . 1.2. Требования к гипервизору Для VMware: Обязательно обновите гипервизор до VMware ESXi 7.0 Update 3 или 8.0 Update 3 (если используется 6.7 или более ранняя версия). Установите уровень совместимости EVC не ниже Intel "Nehalem" . Обновите версию оборудования виртуальной машины до 19 или выше . Для Hyper-V: Отключите параметр «Migrate to a physical computer with a different processor version» в настройках совместимости процессора. Обновите гипервизор до Microsoft Hyper-V Server 2019 или Windows Server 2022 с ролью Hyper-V (если используется версия 2016 или старше). Примечание: дополнительная информация по « Аппаратные и программные требования » доступна в онлайн-документации . 1.3. Требования к дисковому пространству Убедитесь, что на каждом узле достаточно свободного места: Раздел Минимум `/tmp' 5 ГБ '/var' 4 ГБ '/var/log' 200 МБ `/` (корень) 1 ГБ 1.4. Особенности маршрутизации и LDAP ⚠️ Только для конфигураций, где почтовый сервер и доменный контроллер размещены на одном сервере: - Если в разделах «Домены» или «Маршрутизация / MTA» указан IP-адрес такого сервера — замените его на FQDN . - В KSMG 3.0 используется новый механизм балансировки, и указание IP может вызвать ошибки LDAP-интеграции . - Если IP почтового сервера отличается от IP LDAP-сервера — замена не требуется . 1.5. Дополнительная информация и рекомендации 📚 Вы можете найти более подробное описание изменений, которые произойдут после обновления, в онлайн-документации Kaspersky . Рекомендации для предотвращения потери данных: ✅ Вручную обновляйте базы и LDAP-кэш каждый раз после установки пакетов обновления на очередной узел. ✅ При необходимости заново настройте публикацию событий приложения в SIEM-систему . ✅ Повторно задайте параметры приложения , требующие изменения в шаблонах конфигурационных файлов KSMG. ℹ️ Информацию о событиях приложения можно найти в системных журналах , доступных в режиме Technical Support Mode . 2. Обновление кластера 2.1. Подготовка узлов 1. В веб-интерфейсе Управляющего узла перейдите в раздел «Узлы» . 2. Убедитесь, что все узлы доступны и не имеют ошибок. 3. Перейдите в «Очередь сообщений» → «Настроить параметры приема и отправки» . 4. Отключите прием сообщений на узле, который будет обновляться. 5. Дождитесь, пока все сообщения из очереди будут отправлены . 📸 Скриншот 1: Интерфейс раздела «Узлы» — все узлы кластера отображаются в состоянии «Онлайн», без ошибок. Окно «Настроить параметры приема и отправки» с возможностью отключить/включить обработку почты на выбранном узле. 2.2. Обновление подчиненного узла 1. В веб-интерфейсе обновляемого узла нажмите «Установить обновление» и загрузите скачанный пакет. 📸 Скриншот 2: Кнопка «Установить обновление» в верхней части веб-интерфейса, рядом с информацией о текущей версии. 2. Дождитесь завершения установки и ** перезагрузки веб-интерфейса **. 📸 Скриншот 3: Сообщение о завершении установки и автоматическая перезагрузка страницы браузера. 3. Нажмите «Изменить роль на Управляющий узел» (если роль была потеряна). 📸 Скриншот 4: Кнопка «Изменить роль на Управляющий узел» в разделе управления узлом. 4. На новом управляющем узле выполните: Обновление баз ⚠️ Если процесс зависает на 99% или выдаёт ошибку — повторно загрузите лицензионный файл и активируйте его. После этого повторите обновление баз. Обновление LDAP-кэша (если настроен LDAP) 📸 Скриншот 5: Синхронизацию с Active Directory (если LDAP не настроен) 📸 Скриншот 6: Включите KSN-интеграцию 📸 Скриншот 7: 5. Включите прием сообщений только на этом узле . 6. Отправьте тестовое письмо и убедитесь в корректной доставке. Повторите действия для каждого подчинённого узла . 2.3. Обновление управляющего узла 1. В интерфейсе бывшего управляющего узла отключите прием сообщений на целевом узле. 2. Дождитесь отправки всех сообщений из очереди. 3. Перейдите в раздел «Узлы» , назначьте узлу роль «Подчинённый узел» . 📸 Скриншот 8: Назначение роли «Подчинённый узел» в списке узлов кластера. 4. На самом узле нажмите «Установить обновление» и загрузите пакет. 5. После обновления — повторите шаги по обновлению баз и LDAP-кэша при необходимости. 🔄 При необходимости верните роль «Управляющий узел» исходному серверу. 📸 Скриншот 9: 📁 Лог установки: `/var/log/kaspersky/ksmg/patch.log` 3. Постобновление После успешного обновления всего кластера рекомендуется : ✅ Вручную обновить базы и LDAP-кэш на всех узлах. ✅ Проверить и при необходимости заново настроить интеграцию с SIEM-системой . ✅ Восстановить кастомные настройки в шаблонах конфигурационных файлов (если они использовались). ✅ Убедиться, что все узлы принимают и отправляют почту без ошибок. ℹ️ Информацию о событиях приложения можно найти в системных журналах , доступных в режиме Technical Support Mode . 📌 Полезные ссылки Что нового Экспорт параметров KSMG Официальная документация KSMG 3.0 Скачать обновление Youtube Rutube ✅ Обновление KSMG с 2.1.1 до 3.0 завершено! Ваша система теперь работает на актуальной версии с улучшенной стабильностью, безопасностью и новыми возможностями. Руководство по установке и настройке компонента Kaspersky Secure Mail Gateway (KSMG) 3.0 ℹ️ Информация : Приведённая на данной странице информация является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора . Официальная документация по данному разделу приведена в Онлайн-справке на продукт . 📦 Установка Kaspersky Secure Mail Gateway (KSMG) 3.0 Версия решения: 2.1 - 3.0 Тип установки: Standalone (Управляющий узел + обработка на одном сервере) ⚠️ Очень важно : Точный расчёт аппаратных ресурсов ( сайзинг ) возможен только после анализа нагрузки (MPD, MPH, MPS). Представленные ниже требования обеспечивают пропускную способность до 10 сообщений/сек при среднем размере письма 300 КБ . Для высоконагруженных сред требуется кластерная архитектура и предварительный расчёт от партнёра Kaspersky. 💡 Важно : Подробнее о принципе работы KSMG описано в онлайн-документации . 1. Подготовка 1.1. Варианты установки и обработки сообщений KSMG поддерживает три основных сценария интеграции , определяющих, как обрабатываются почтовые сообщения : Вариант Описание Влияние на mail flow Пограничный почтовый шлюз KSMG устанавливается на периметре сети и обрабатывает весь входящий и исходящий трафик . Может выступать как MX-запись. ✅ Полный контроль над mail flow Внутренний почтовый шлюз KSMG устанавливается внутри сети и анализирует трафик между почтовым сервером и внешним миром (или между сегментами). ✅ Влияет на mail flow, но не является MX BCC-анализ (копия трафика) На KSMG подаётся зеркалированная копия почтового трафика (например, через BCC или SPAN). Решение не влияет на доставку писем . ❌ Только мониторинг и анализ 💡 Рекомендация : - Для пилотного проекта рекомендуется начать с BCC-анализа — это безопасно и не требует изменения маршрутизации. - Для продуктивного внедрения — используйте пограничный шлюз . 1.2. Варианты архитектуры развёртывания Вариант Описание Standalone Управляющий узел + обработка на одной ВМ. Подходит для пилотных внедрений и небольших организаций. Кластер Отказоустойчивая система: минимум 2 узла (1 управляющий + 1 подчинённый). Обеспечивает балансировку и отказоустойчивость. Распределённое решение Несколько кластеров в филиалах с централизованным управлением через DNS или балансировщик. 💡 Рекомендация : Смена архитектуры (например, с Standalone на кластер) возможна без переустановки — достаточно добавить узлы. Для кластера обязательно настройте время (NTP) и DNS-записи для всех узлов. 1.3. Требования к оборудованию Компонент Требование Режим загрузки Обязательно UEFI Процессор Минимум 8 ядер (рекомендуется Intel Xeon или AMD EPYC) ОЗУ Минимум 16 ГБ Диски Минимум 200 ГБ (SSD или SAS HDD 10K+) RAID Поддерживается как аппаратный, так и программный RAID Сеть 1+ сетевой интерфейс 🔹 Производительность : - 8 ядер / 16 ГБ ОЗУ → до 10 сообщений/сек - Для увеличения пропускной способности — масштабируйте горизонтально (добавляйте узлы) 1.4. Платформы виртуализации Поддерживаются: VMware ESXi 6.7 / 7.0 Microsoft Hyper-V РЕД Виртуализация 7.3 Astra Linux SE / zVirt Node 📌 Примечание для VMware : - Уровень совместимости EVC ≥ Intel Nehalem - Тип диска: Thick Provision (рекомендуется) 1.5. Сетевые требования Перед установкой: Создайте A-запись и PTR-запись (обратную) в DNS для FQDN KSMG (например, ksmg.company.local ) Убедитесь, что KSMG имеет доступ к: Серверам обновления : antiapt.kaspersky-labs.com , activation-v2.kaspersky.com KSN/KPSN (если используется): *.ksn.kaspersky-labs.com 1.6. Порты и серверы обновлений Сервис URL / Порт Обновления https://antiapt.kaspersky-labs.com Активация https://activation-v2.kaspersky.com KSN *.ksn.kaspersky-labs.com (HTTPS) Веб-интерфейс TCP/443 Кластерное взаимодействие TCP/9045 2. Установка 2.1. Общая последовательность Создайте ВМ согласно требованиям Установите KSMG с ISO-образа Выполните первоначальную настройку через TUI Настройте кластер (если нужно) Активируйте лицензию и обновите базы Создайте учётную запись Офицера безопасности 2.2. Создание виртуальной машины (VMware vSphere) Если требуется , то после создания перейдите к управлению данной ВМ . На ВМ необходимо включить режим « VMware EVC » согласно требованиям, для этого в разделе « Configure → VMware EVC » необходимо включить данный режим, обязательно уровень совместимости должен быть не ниже « Intel «Nehalem» ». 📸 Скриншот 1 : Выбор совместимости — «Intel Nehalem» 📸 Скриншот 2 : Настройка оборудования: CPU, RAM, HDD, сеть, CD/DVD 2.3. Процесс установки 📸 Скриншот 3 : Выбор «Install — KSMG» 📸 Скриншот 4 : Выбор языка установки 📸 Скриншот 5 : Принятие лицензионного соглашения 📸 Скриншот 6 : Предупреждение о требованиях к железу 📸 Скриншот 7 : Выбор диска для установки 📸 Скриншот 8 : Подтверждение очистки диска — «Yes» Дождитесь окончания копирования файлов на диск. Далее последует перезагрузка. 2.4. Первоначальная настройка через TUI 📸 Скриншот 9 : Выбор «Kaspersky Secure Mail Gateway» при загрузке с HDD 📸 Скриншот 10 : Меню NetworkManager TUI — выбор «Set system hostname» 📸 Скриншот 11 : Указание FQDN (например, ksmg.company.local ) 📸 Скриншот 12 : Выбор «Edit a connection» для настройки сети 📸 Скриншот 13 : Выбор сетевого адаптера — «Wired connection 1» 📸 Скриншот 14 : Настройка IPv4 — выбор «Automatic» (DHCP) или статик, после подтверждение настройки — кнопка «OK» 📸 Скриншот 16 : Возврат в главное меню — «Back» 📸 Скриншот 17 : Завершение настройки — «Quit» 📸 Скриншот 18 : Указание IP-адреса для кластерного взаимодействия 📸 Скриншот 19 : Указание порта кластера — 9045 📸 Скриншот 20 : Указание порта веб-интерфейса — 443 📸 Скриншот 21 : Задание пароля администратора 📸 Скриншот 22 : Сохранение отпечатка SSL-сертификата 📸 Скриншот 23 : Создание PTR-записи в DNS Manager 3. Настройка 3.1. Доступ к веб-интерфейсу 📸 Скриншот 24 : Вход в веб-интерфейс — https:// 📸 Скриншот 25 : Экран входа: логин Administrator , пароль 📸 Скриншот 26 : Создайте новый кластер. Нажмите «Create new cluster» 3.2. Лицензирование и обновление 📸 Скриншот 27 : Активация лицензии — ввод кода или загрузка файла 📸 Скриншот 28 : Обновление баз — кнопка «Обновить базы» 📸 Скриншот 29 : Перезагрузка Управляющего узла — «Узлы → Перезагрузить» 3.3. Добавление подчинённого узла (кластер) Чтобы программа могла выполнять балансировку без сбоев, нужно добавить в кластер хотя бы один « подчинённый узел ». Для этого нужно создать ещё одну виртуальную машину и установить на неё Kaspersky Secure Mail Gateway, как и в предыдущих шагах. 📸 Скриншот 30 : Добавление узла — «Узлы → Добавить узел» 📸 Скриншот 31 : Указание IP подчинённого узла 📸 Скриншот 32 : Подтверждение отпечатка сертификата 📸 Скриншот 33 : Перезагрузка подчинённого узла после синхронизации 📸 Скриншот 34 : Перезагрузка подчинённого узла после синхронизации 3.4. Включение KSN 📸 Скриншот 35 : Настройка KSN — «Я согласен участвовать в KSN» 📸 Скриншот 36 : Статус «Состояние соединения KSN/KPSN — Без ошибок» Первоначальная настройка « Kaspersky Secure Mail Gateway » завершена. ✅ Установка и настройка KSMG 3.0 завершены! Теперь можно приступать к: Настройке MTA и доменов Интеграции с почтовым сервером (Exchange, Postfix и др.) Тестированию модулей защиты (антивирус, анти-спам, анти-фишинг) 📌 Полезные ссылки Официальная документация KSMG 3.0 Создание виртуальной машины AntiAPT Community – KSMG Kaspersky на YouTube Kaspersky на Rutube Полезное видео на Youtube Полезное видео на Rutube Диагностика и решение проблем Базовая диагностика KSMG Создание файла трассировки При возникновении неполадок с решением KSMG необходимо собрать файл трассировки. Файл трассировки следует создавать после воспроизведения действий пользователя, которые привели к возникновению неполадки. Для создания файла трассировки выполните следующие действия: В окне веб-интерфейса приложения выберите раздел Узлы → Диагностические данные В рабочей области отобразится таблица узлов кластера с информацией о времени последнего создания файла трассировки для каждого узла. В таблице выберите узел, для которого вы хотите получить диагностическую информацию. Откроется окно Просмотреть результаты В нижней части окна нажмите на кнопку Запустить Будет создан архив с диагностической информацией. Изменение уровня трассировки Изменение уровня трассировки сохраняется в конфигурации приложения и не влияет на уже созданные файлы трассировки. Для изменения уровня трассировки выполните следующие действия: В окне веб-интерфейса приложения выберите раздел Узлы → Диагностические данные Нажмите на кнопку Уровень диагностики Откроется окно Уровень диагностики Выберите один из следующих вариантов: Ошибки/Отладка Этот уровень трассировки значительно повышает требования к подсистеме хранения данных и снижает производительность приложения. Используйте уровень отладки, только если Служба технической поддержки "Лаборатории Касперского" просит предоставить файлы трассировки такого типа. По умолчанию установлено значение Ошибки. Нажмите на кнопку Сохранить. Уровень трассировки будет изменен. Новые файлы трассировки будут создаваться в соответствии с выбранным уровнем. Скачивание файла трассировки Для того, чтобы скачать файл трассировки: В окне веб-интерфейса приложения выберите раздел Узлы → Диагностические данные В рабочей области отобразится таблица узлов кластера с информацией о времени последнего создания файла трассировки для каждого узла. В таблице выберите узел, для которого вы хотите скачать файл трассировки. Откроется окно Просмотреть результаты В строке с нужным файлом нажмите на значок Скачать. справа от названия файла. Архив с файлом будет сохранен на вашем компьютере в папке загрузки браузера. Получение информации с помощью утилиты collect_diag_info.py Описание процесса сбора диагностической информации с помощью утилиты collect_diag_info.py Утилита расположена в директории /opt/kaspersky/ksmg/bin Для получения информации выполните следующие действия: Подключитесь к консоли управления виртуальной машиной KSMG под учетной записью root, используя закрытый ключ SSH. Вы войдете в режим Technical Support Mode Выполните следующую команду: /opt/kaspersky/ksmg/bin/collect_diag_info.py 2> Пример: /opt/kaspersky/ksmg/bin/collect_diag_info.py /tmp/diaginfo.tar.gz 2> /tmp/log.file В результате работы утилиты будет создан архив с диагностической информацией и файл журнала утилиты. Эти файлы необходимо передать сотрудникам Службы технической поддержки. Диагностика Диагностика неисправностей Moebius Как собрать диагностическую информацию о работе KSMG .custom-article a { color: rgb(0, 168, 142); font-weight: bold; text-decoration: none; } .custom-article a:hover { color: rgb(0, 120, 100); text-decoration: none; } Инструкции по настройке Инструкция как получить доступ по SSH к KSMG Информация:  Приведенная на данной странице информация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора. Версия решения: 3.0 Тип инструкции: Инструкция как получить доступ по SSH к KSMG Описание задачи KSMG администратор может подключиться к любой ноде по протоколу SSH, чтобы работать с программой в Technical Support Mode, используя командную строку. Чтобы это реализовать необходимо сгенерировать SSH ключи, загрузить SSH публичный ключ в программу используя веб-интерфейс. После установки ключа на сервер с главной нодой, он будет распространен и сохранен на другие, связанные с ней, KSMG ноды. В данной инструкции используется программа PuTTY. Вы можете использовать любой другой аналог. Создание пары ключей 1. Скачайте PuTTY, зайдите в папку, куда установилась PuTTY , запустите PuTTYgen . 📸 Скриншот 1: Экран " Выбор приложения " 2. Проверьте эти параметры: Type of key to generate – RSA , Number of bits in a generated key – 2048 . Нажмите Generate . Двигайте мышкой случайным образом, пока не заполнится шкала key . 📸 Скриншот 2: Экран " Генерация ключа " 3. Укажите passphrase . Введите такое же кодовое слово в Confirm passphrase . Затем нажмите Save private key , и укажите имя и место сохранения. 📸 Скриншот 3: Экран " Сохранение ключа " 4. Скопируйте публичный ключ, он находится в поле Public key for pasting into OpenSSH authorized_keys file . 5. Переместитесь в веб-интерфейс KSMG. Перейдите Параметры → Доступ по SSH → Добавить ключ . Заполните поле " Описание " и вставьте скопированный ключ в поле " Данные ключа" . Нажмите " Добавить ". 📸 Скриншот 4: Экран " Загрузка ключа " Соединение KSMG используя SSH 1 . Запустите PuTTY . Перейдите по вкладкам Connection → SSH → Auth . В поле справа выберете сохраненный файл закрытого ключа. 📸 Скриншот 5: Экран " Применение ключа " 2. Перейдите во вкладку Session . Введите в полях: Host Name (or IP adderss) - IP-адрес KSMG , Port – 22, Connection type – SSH. Нажмите Open . 📸 Скриншот 6: Экран " По д ключение к KSMG по SSH " 3. Нажмите Accept . 📸 Скриншот 7: Экран " Подтвердите подключение к KSMG по SSH " 4. Введите Login as – root , Passphrase for key ту, которую указывали при генерации ключа. Вы успешно подключились. 📸 Скриншот 8: Экран " Подтвердите подключение к KSMG по SSH " Интеграция LDAP и аутентификация с помощью технологии единого входа Настройка аутентификации с помощью доменных учетных записей позволяет пользователям не вводить данные учетной записи Kaspersky Secure Mail Gateway для подключения к веб-интерфейсу программы. Данная статья описывает процесс настройки интеграции LDAP Подготовка корпоративной инфраструктуры Время на всех нодах кластера KSMG и контроллерах домена должно быть синхронизировано c использованием единого NTP-сервера; Все ноды DNS-сервера, указанные при установке должны быть доступны; На корпоративном DNS-сервере нужны прямая A-запись и обратная PTR-запись для KSMG; Для каждого домена и поддомена необходимо формировать отдельный keytab-файл, чтобы иметь возможность видеть необходимый каталог пользователей; При интеграции по LDAP отсутсвует возможность настройки порта подключения к контроллеру домена. Настройки подключения получают из корпоративного DNS-сервера по SRV-записи необходимого контроллера домена; Создание учётных записей для LDAP и SSO рекомендуется выполнять через графический интерфейс управления контроллером домена; Дополнительные требования к keytab-файлу Для проверки подлинности прокси и SSO полное доменное имя, указанное в keytab-файле, всегда должно совпадать с реальным и используемым полным доменным именем. Для проверки подлинности прокси адрес, который используется в настройках прокси в браузере, ДОЛЖЕН совпадать с полным доменным именем в keytab-файле; Для единого входа адрес в адресной строке браузера, который используется для доступа к веб-интерфейсу KSMG, ДОЛЖЕН совпадать с полным доменным именем в keytab-файле и ДОЛЖЕН соответствовать реальному и используемому полному доменному имени KSMG и полному доменному имени, настроенному в операционной системе. Но для LDAP полное доменное имя в keytab-файле SPN должно иметь действительные записи в DNS, включая PTR-запись. Кроме того для keytab-файла LDAP вообще не обязательно иметь имя участника службы, но оно должно быть доступно для прокси-сервера и единого входа; Для проверки подлинности LDAP невозможно иметь несколько записей SPN в keytab-файле. Но в случае прокси-аутентификации и SSO-аутентификации вы можете создать несколько записей. Для LDAP это делать не нужно; У вас не может быть дубликатов имени участника службы. Это значит, что вы не можете создать два keytab-файла с дублирующимся SPN (включая полное доменное имя); Пользователь, учётная запись которого использовалась для создания keytab-файла, должен содержать в Distinguished Name только латинские символы, поэтому во всем пути к пользователю в AD не должно быть ни кириллицы, ни других символов; Настройка LDAP ВАЖНО! Перед выполнением инструкции убедитесь, что имя хоста задано верно и корректно отображается как в web-интерфейсе, так и при доступе через SSH. Создайте пользователя в AD. Активная опция – Password never expires Активная опция – This account supports Kerveros AES 256bit encryption Создайте keytab-файл. Создание keytab-файла C:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) Управляющего узла>@ -mapuser control-user@ -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <путь к файлу>\<имя файла>.keytab Загрузите keytab-файл на странице настроек ноды KSMG. Синхронизация происходит раз в 30 минут. Статус синхронизации можно посмотреть в разделе Nodes: Cинхронизация узлов кластера KSMG по LDAP происходит независимо, то есть для них можно использовать одну и ту же учётную запись и keytab-файл. Если синхронизация по каким-то причинам не происходит, KSMG будет использовать информацию из кэша (кэш удаляется только если удалить LDAP-соединение). Настройка SSO Создайте другого пользователя в AD. Активная опция – Password never expires Активная опция – This account supports Kerveros AES 256bit encryption Создайте keytab-файл. Создание keytab-файла C:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) Управляющего узла>@ -mapuser ksmg-sso@ -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <пароль пользователя ksmg-sso - пример cZ8ckcVPysXOOS7m> +dumpsalt -out <путь к файлу>\<имя файла>.keytab Загрузите keytab-файл на странице настроек ноды KSMG. Перейти в раздел Settings | Application access | Single Sign-On login Настройка Kerberos-аутентификации для кластера (опционально) Создайте keytab-файл. Создание keytab-файла C:\Windows\system32\ktpass.exe -princ HTTP/control-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out C:\keytabs\filename1.keytab Добавьте SPN второго узла в тот же keytab-файла. Добавление SPN второго узла в keytab-файл Для каждого узла кластера добавьте в keytab-файл запись SPN. Для этого выполните следующую команду: C:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) узла>@ -mapuser secondary1-user@ -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <путь и имя ранее созданного файла>.keytab -out <путь и новое имя>.keytab Настройка клиентских рабочих станций для использования SSO Проверьте, что узлы KSMG доступны по своим доменным именам. В cmd.exe выполните команду nslookup Далее в интерфейсе команды проверьте доступность узла KSMG по своему доменному имени <Доменное имя сервера KSMG>@<Имя домена> Добавьте узлы KSMG в список сайтов Local intranet. Вариант 2, локально через групповые политики. Win+r → gpedit.msc Добавьте узлы KSMG в список сайтов Local Intranet. Изменение групповой политики → Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Internet Explorer → Панель управления браузером → Вкладка «Безопасность» → Список назначений зоны веб-сайтов (Local Computer Policy → Computer Configuration → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page) Примените произведённые изменения в групповых политиках. Запустите cmd.exe с правами администратора В cmd.exe выполните команду gpupdate /force Назначьте роль Viewer или Superuser доменному пользователю, указав его учётную запись. Авторизуйтесь на рабочей станции, использую указанную в предыдущем пункте учётную запись и перейдите в web-интерфейс KSMG, введя в строке браузера его доменное имя. https:// ksmg.sales.lab / Вход будет осуществлён без использования логина и пароля Интеграция KSMG с KATA Введение Kaspersky Secure Mail Gateway (KSMG) — защищает корпоративную почту от спама, фишинга, вредоносных вложений и целевых атак. Kaspersky Anti Targeted Attack Platform (KATA) — обнаруживает и предотвращает целевые атаки, APT-угрозы и сложные инциденты в корпоративной инфраструктуре. Интеграция этих решений позволяет: Передавать письма из KSMG на анализ в KATA. Получать вердикт от KATA и автоматически блокировать, помещать в карантин или помечать письма. Увеличить уровень защиты почтовой системы от сложных угроз. Возможности интеграции KSMG может быть настроен для работы с KATA в двух режимах: Подключение к одному серверу KATA — указывается IP/FQDN Central Node. Подключение к нескольким серверам с балансировкой (KATA 5.0+) — автоматическое распределение нагрузки и переключение при отказе. В этой статье разбираем вариант с одним сервером . Пошаговая настройка интеграции Шаг 1. Настройка KSMG Войдите в веб-интерфейс KSMG. Перейдите в: Параметры → Внешние службы → Защита KATA На скриншоте показан раздел, где настраивается подключение KATA. Нажмите Добавить сервер KATA . В этом окне задаются IP/FQDN и порт подключения к KATA. Введите: IP-адрес или FQDN Central Node. Порт (по умолчанию 443 ). Нажмите Далее — появится окно с сертификатом. Проверьте отпечаток SHA256 и подтвердите. Активируйте опции: Отправлять на сервер KATA сообщения без обнаружений — для полной проверки. Отправлять на сервер KATA сообщения с обнаружениями — для дополнительного анализа подозрительных писем. Настройте лимиты: Время ожидания ответа : 600 сек (от 60 до 86400). Размер карантина : 1024 МБ (от 1 МБ). Максимум писем в карантине : 5000 (от 1 до 4 294 967 296). Сохраните изменения. Шаг 2. Авторизация KSMG в KATA Войдите в веб-интерфейс Central Node KATA . Перейдите в раздел Внешние системы . Найдите KSMG и подтвердите запрос на авторизацию. После подтверждения статус изменится на «Авторизован». Шаг 3. Настройка правил KSMG Перейдите в раздел Правила . Выберите нужное правило и нажмите Изменить . Включите опцию Защита KATA . Опция включает проверку всех писем по этому правилу в KATA. Настройте действия: Удалить сообщение, Отклонить, Пропустить. Сохраните правило. Проверка работоспособности Отправьте тестовое письмо (например, с EICAR-файлом). Убедитесь, что: Письмо отправилось на проверку в KATA. В KATA появился вердикт. KSMG выполнил заданное действие. Рекомендации Включайте проверку всех писем для максимальной защиты. Следите за заполнением карантина. При высокой нагрузке используйте кластер KATA . Периодически проверяйте журналы событий KSMG и KATA. Обновляйте версии ПО для получения актуальных алгоритмов анализа.