[KB8184] ESET PROTECT On-PremのActive Directory統合のセットアップ(Linuxコンポーネントのインストール)

注意事項

このページはコンピュータによって翻訳されています。このページの「言語」の「英語」をクリックすると、原文が表示されます。ご不明な点がございましたら、お近くのサポートまでお問い合わせください。

課題

前提条件

以下の手順では、例として以下の環境を使用します:

  • ESET PROTECT On-Prem Linux ディストリビューション:Ubuntu Server 20.04
  • ESET PROTECT On-Prem ホスト名:protect
  • ESET PROTECT On-Prem FQDN:protect.test.local
  • ESET PROTECT オンプレム IP アドレス: 10.123.1.2

  • Active Directory ドメイン:test.local
  • NetBIOSドメイン:テスト
  • ドメインコントローラ:dc.test.local (10.123.1.1)
  • ESET PROTECT On-Prem Active Directory (AD) ユーザーアカウント:eset.protect@test.local (eset.protect)

ソリューション

ESET PROTECT On-Prem の Active Directory インテグレーションの設定

先に進む前に確認すること

default_realmActive Directory Domain(必ず大文字)に変更し、realm 定義をActive Directory Domain(必ず大文字)に変更することを確認します。

Active Directoryドメインのrealm定義で、ドメインコントローラーをKDC(Key Distribution Center)に指定していることを確認してください。複数のドメインコントローラーがある場合は、複数のKDCを指定します。

domain_realmでActive Directoryドメイン(接頭語は「.」)をレルム名(Active Directoryドメインだが大文字)にマッピングしていることを確認する。

  1. etc/krb5.confでKerberosを設定する:
[libdefaults] default_realm = TEST.LOCAL ticket_lifetime = 24h forwardable = true [realms] TEST.LOCAL = { kdc = dc.test.local } [domain_realm] .test.local = TEST.LOCAL
  1. systemd-resolvedはKerberosで問題を引き起こす可能性がある。

    1. 以下のコマンドを実行する:

sudo systemctl disable systemd-resolved.service sudo systemctl stop systemd-resolved
    1. etc/hosts を設定します。ESET PROTECT On-Prem とドメインコントローラをホストファイルに追加します。net joinは、システムをドメインに参加させるときに、SPNなど、ホストの最初に定義されたエイリアスを使用します。すべての値はタブ区切りです。
127.0.0.1 localhost 10.123.1.2 esmc.test.local protect 10.123.1.1 dc.test.local dc
  1. 時間同期を設定する。デフォルトでは、Active Directory Kerberos参加者のコンピュータクロック同期の最大許容誤差は、Kerberos KDC(ここではドメインコントローラ)から 5 分で正しく動作します。

ESET PROTECT On-Premを仮想マシン(VM)上で使用する場合、これを処理するVMエージェントを備えたハイパーバイザをすでに使用している可能性があります。そうでない場合は、systemd-timesyncdで十分です。ntpdを使うこともできる。

以下の手順ではsystemd-timesyncd を使います:

    1. etc/systemd/timesyncd.conf を設定します。NTP サーバーのアドレスはスペースで区切ります。各ドメインコントローラーを指定します。

[時刻] NTP=10.123.1.1
    1. systemd-timesyncd同期に設定されていることを確認し、強制的に再同期させます。設定に従って、"Synchronized to time server 10.123.1.123 "というログエントリが表示されるはずです。

sudo timedatectl set-ntp on sudo timedatectl status sudo systemctl restart systemd-timesyncd.service systemctl status systemd-timesyncd.service
  1. ESET PROTECT On-Prem のAccess RightsMapped Domain Security Groups を設定します。

    1. サーバー設定(ESET PROTECT On-Prem)の詳細設定セクションで Active Directory を設定します。

    2. ドメインセキュリティグループをマッピングし、権限セットを割り当てます。

  2. ESET PROTECT On-Prem で静的グループ同期サーバータスクを設定します。

  3. ESET PROTECT On-Premでユーザー同期サーバータスクを設定します。


マルチドメイン環境(MSP ユーザー)

以下の手順に従って、Kerberos で複数ドメインを定義します:

  1. etc/krb5.confでKerberosを設定します:
[libdefaults] default_realm = DOMAIN1.LOCAL ticket_lifetime = 24h forwardable = yes [realms] DOMAIN1.LOCAL = { kdc = dc.domain1.local } DOMAIN2.LOCAL = { kdc = dc.domain2.local } [domain_realm] .domain1.local = DOMAIN1.LOCAL .domain2.local = DOMAIN2.LOCAL

kinitを実行して、仮想アプライアンスがTGTを取得できることを確認します。これはドメインごとに行う必要があります(kdestroyが必要な場合もあります)。

kinit username@ドメイン1 klist

トラブルシューティング

以下のコマンドを使用して、KerberosログインとLDAP GSSAPIをテストし、トラブルシューティングに役立つデバッグ情報を表示することができる。コマンドは、ユーザーの既存のKerberosチケットを破棄し、指定したADユーザーのKerberosチケットを取得し、取得したKerberosチケットを一覧表示し、GSSAPIで認証してLDAP検索を実行する。

Kerberosのトラブルシューティング時に関連するドメインコントローラーでシステム時間を確認する

Kerberosのトラブルシューティングを行う際は、常に関連するドメインコントローラー(KDC)でシステム時間を確認し、それらが互いに5分以内(デフォルト)であることを確認してください。

  • eset.protectを、ESET PROTECT On-Prem が接続するAD ユーザーアカウントに置き換えます。
  • dc.test.localドメイン コントローラに置き換えます。
  • DC=test,DC=localを、すべての子コンピュータ オブジェクトを一覧表示するドメイン内のベース OU の識別名(DN)に置き換えます。
kdestroy KRB5_TRACE=/dev/stdout kinit eset.protect klist -f KRB5_TRACE=/dev/stdout ldapsearch -LL -Y GSSAPI -H dc.test.local -b 'DC=test,DC=local' '(&(objectCategory=computer))' 'distinguishedName' 'dNSHostName'

ESET AI Advisorとチャットでサポート