課題
前提条件
以下の手順では、例として以下の環境を使用します:
- ESET PROTECT On-Prem Linux ディストリビューション:Ubuntu Server 20.04
- ESET PROTECT On-Prem ホスト名:protect
- ESET PROTECT On-Prem FQDN:protect.test.local
- ESET PROTECT オンプレム IP アドレス: 10.123.1.2
- Active Directory ドメイン:test.local
- NetBIOSドメイン:テスト
- ドメインコントローラ:dc.test.local (10.123.1.1)
- ESET PROTECT On-Prem Active Directory (AD) ユーザーアカウント:eset.protect@test.local (eset.protect)
ソリューション
ESET PROTECT On-Prem の Active Directory インテグレーションの設定
etc/krb5.confで
Kerberosを設定する:
[libdefaults] default_realm = TEST.LOCAL ticket_lifetime = 24h forwardable = true [realms] TEST.LOCAL = { kdc = dc.test.local } [domain_realm] .test.local = TEST.LOCAL
systemd-resolvedは
Kerberosで問題を引き起こす可能性がある。以下のコマンドを実行する:
sudo systemctl disable systemd-resolved.service sudo systemctl stop systemd-resolved
etc/hosts を
設定します。ESET PROTECT On-Prem とドメインコントローラをホストファイルに追加します。net joinは
、システムをドメインに参加させるときに、SPNなど、ホストの最初に定義されたエイリアスを使用します。すべての値はタブ区切りです。
127.0.0.1 localhost 10.123.1.2 esmc.test.local protect 10.123.1.1 dc.test.local dc
時間同期を設定する。デフォルトでは、Active Directory Kerberos参加者のコンピュータクロック同期の最大許容誤差は、Kerberos KDC(ここではドメインコントローラ)から 5 分で正しく動作します。
ESET PROTECT On-Premを仮想マシン(VM)上で使用する場合、これを処理するVMエージェントを備えたハイパーバイザをすでに使用している可能性があります。そうでない場合は、systemd-timesyncd
で十分です。ntpdを使うこともできる。
以下の手順ではsystemd-timesyncd を
使います:
etc/systemd/timesyncd.conf を
設定します。NTP サーバーのアドレスはスペースで区切ります。各ドメインコントローラーを指定します。
[時刻] NTP=10.123.1.1
systemd-timesyncd
が同期に
設定されていることを確認し、強制的に再同期させます。設定に従って、"Synchronized to time server 10.123.1.123 "というログエントリが表示されるはずです。
sudo timedatectl set-ntp on sudo timedatectl status sudo systemctl restart systemd-timesyncd.service systemctl status systemd-timesyncd.service
ESET PROTECT On-Prem のAccess RightsでMapped Domain Security Groups を設定します。
サーバー設定(ESET PROTECT On-Prem)の詳細設定セクションで Active Directory を設定します。
ドメインセキュリティグループをマッピングし、権限セットを割り当てます。
ESET PROTECT On-Prem で静的グループ同期サーバータスクを設定します。
ESET PROTECT On-Premでユーザー同期サーバータスクを設定します。
マルチドメイン環境(MSP ユーザー)
以下の手順に従って、Kerberos で複数ドメインを定義します:
etc/krb5.confで
Kerberosを設定します:
[libdefaults] default_realm = DOMAIN1.LOCAL ticket_lifetime = 24h forwardable = yes [realms] DOMAIN1.LOCAL = { kdc = dc.domain1.local } DOMAIN2.LOCAL = { kdc = dc.domain2.local } [domain_realm] .domain1.local = DOMAIN1.LOCAL .domain2.local = DOMAIN2.LOCAL
kinitを
実行して、仮想アプライアンスがTGTを取得できることを確認します。これはドメインごとに行う必要があります(kdestroyが
必要な場合もあります)。
kinit username@ドメイン1 klist
トラブルシューティング
以下のコマンドを使用して、KerberosログインとLDAP GSSAPIをテストし、トラブルシューティングに役立つデバッグ情報を表示することができる。コマンドは、ユーザーの既存のKerberosチケットを破棄し、指定したADユーザーのKerberosチケットを取得し、取得したKerberosチケットを一覧表示し、GSSAPIで認証してLDAP検索を実行する。
eset.protect
を、ESET PROTECT On-Prem が接続するAD ユーザーアカウントに置き換えます。dc.test.local
をドメイン コントローラに置き換えます。DC=test,DC=local
を、すべての子コンピュータ オブジェクトを一覧表示するドメイン内のベース OU の識別名(DN)に置き換えます。
kdestroy KRB5_TRACE=/dev/stdout kinit eset.protect klist -f KRB5_TRACE=/dev/stdout ldapsearch -LL -Y GSSAPI -H dc.test.local -b 'DC=test,DC=local' '(&(objectCategory=computer))' 'distinguishedName' 'dNSHostName'