Kaspersky Security Center

使用 NTLM 和 Kerberos 协议配置域身份验证

2024年10月10日

ID 210700

Kaspersky Security Center 14.2 允许您在 OpenAPI 中通过 NTLM 和 Kerberos 协议使用域身份验证。使用域身份验证允许 Windows 用户在 Kaspersky Security Center Web Console 中启用安全身份验证,而无需在公司网络上重新输入密码(单点登录)。

在 OpenAPI 中通过 Kerberos 协议进行域身份验证具有以下限制:

  • 在 Active Directory 中必须使用 Kerberos 协议对 Kaspersky Security Center Web Console 的用户进行身份验证。用户必须具有有效的 Kerberos 票证授予票证(也称为 TGT)。当您对域进行身份验证时,将自动颁发 TGT。
  • 您必须在浏览器中配置 Kerberos 身份验证。有关详细信息,请参阅所用浏览器的文档。

如果要通过 Kerberos 协议使用域身份验证,您的网络必须满足以下条件:

  • 管理服务器必须在域账户名下运行。
  • Kaspersky Security Center Web Console 服务器必须安装在安装管理服务器的同一设备上。
  • 您必须为管理服务器账户指定以下服务主体名称 (SPN):
    • "http/<server.fqnd.name>"
    • "http/<server>"

    这里,<server> 是管理服务器设备的网络名称,<server.fqnd.name> 是管理服务器设备的 FQDN 名称。

  • 连接到管理控制台或 Kaspersky Security Center Web Console 时,所指定的管理服务器地址必须与注册了服务主体名称 (SPN) 的地址完全相同。您可以指定 <server.fqnd.name> 或 <server>。
  • 要实现免密码登录,在其中将 Kaspersky Security Center Web Console 作为浏览器打开的浏览器进程必须在域账户下运行。

只有 Kaspersky Security Center 14.2 的 OpenAPI 支持 Kerberos 和 NTLM 协议。Kaspersky Security Center Linux 的 OpenAPI 不支持。

您觉得这篇文章有帮助吗?
我们可以做什么更好?
感谢您的反馈!你正在帮助我们进步。
感谢您的反馈!你正在帮助我们进步。