Creación de un archivo de configuración para la integración de Active Directory

Es necesario crear un archivo de configuración
krb5.ini
(o
krb5.conf
en Linux) para brindar a
Symantec Data Loss Prevention
información sobre ubicaciones de servidor y estructura de dominio de Active Directory. Este paso es necesario si tiene más de un dominio de Active Directory. Sin embargo, aunque la estructura de Active Directory incluya solamente un dominio, se recomienda crear este archivo. La utilidad kinit usa este archivo para confirmar que
Symantec Data Loss Prevention
puede comunicarse con el servidor de Active Directory.
Si está ejecutando
Symantec Data Loss Prevention
en Linux, verifique la conexión de Active Directory con la utilidad kinit. Es necesario cambiar el nombre del archivo
krb5.ini
por
krb5.conf
. La utilidad kinit requiere que el archivo se denomine
krb5.conf
en Linux.
Symantec Data Loss Prevention
asume que usa el kinit para verificar la conexión de Active Directory y le solicita que cambie el nombre del archivo a
krb5.conf.
Symantec Data Loss Prevention
proporciona un archivo
krb5.ini
de muestra que puede modificar para usar con su propio sistema. El archivo de muestra se almacena en
Protect\config
(por ejemplo,
\Archivos de programa\Symantec\DataLossPrevention\EnforceServer\
16.0.10000
\Protect\config
en Windows o en
/opt/Symantec/DataLossPrevention/EnforceServer/
16.0.10000
/Protect/config
en Linux). Si está ejecutando
Symantec Data Loss Prevention
en Linux, Symantec recomienda cambiar el nombre del archivo a
krb5.conf
. El archivo de muestra, que se divide en dos secciones, se ve de la siguiente manera:
[libdefaults] default_realm = TEST.LAB [realms] ENG.COMPANY.COM = { kdc = engAD.eng.company.com } MARK.COMPANY.COM = { kdc = markAD.eng.company.com } QA.COMPANY.COM = { kdc = qaAD.eng.company.com }
La sección
[libdefaults]
identifica el dominio predeterminado. (Se debe tener en cuenta que los terriotorios de Kerberos se corresponden con los dominios de Active Directory). La sección
[realms]
define un servidor de Active Directory para cada dominio. En el ejemplo anterior, el servidor de Active Directory para ENG.COMPANY.COM es
engAD.eng
.company.com.
  1. Para crear el archivo krb5.ini o krb5.conf
  2. Vaya a
    SymantecDLP
    \Protect\config
    y localice el archivo
    krb5.ini
    de muestra. Por ejemplo, localice el archivo en
    \Archivos de programa\Symantec\DataLossPrevention\EnforceServerProtect\config
    (en Windows) o en
    /opt/Symantec/DataLossPrevention/EnforceServer/
    16.0.10000
    /Protect/config
    (en Linux).
  3. Copie el archivo
    krb5.ini
    de muestra en el directorio c:\windows (en Windows) o en el directorio /etc (en Linux). Si está ejecutando
    Symantec Data Loss Prevention
    en Linux, planee verificar la conexión de Active Directory con la herramienta de línea de comandos de kinit. Cambie el nombre del archivo a
    krb5.conf
    .
  4. Abra el archivo
    krb5.ini
    o
    krb5.conf
    en un editor de texto.
  5. Reemplace el valor
    default_realm
    de muestra con el nombre completamente calificado de su dominio predeterminado. (El valor de
    default_realm
    debe estar todo en letra mayúscula). Por ejemplo, modifique el valor de la siguiente manera:
    default_realm = MYDOMAIN.LAB
  6. Reemplace los otros nombres de dominio de muestra con los nombres de los dominios reales. (Los nombres de dominio deben estar escritos en letra mayúscula). Por ejemplo, reemplace
    ENG.COMPANY.COM
    por
    ADOMAIN.COMPANY.COM
    .
  7. Reemplace los valores
    kdc
    de muestra con los nombres de host o las direcciones IP de los servidores de Active Directory. (Asegúrese de seguir el formato especificado; tras el paréntesis de apertura debe introducirse siempre un salto de línea). Por ejemplo, reemplace
    engAD.eng.company.com
    por
    ADserver.eng.company.com
    , y así sucesivamente.
  8. Elimine cualquier entrada de
    kdc
    sin usar desde el archivo de configuración. Por ejemplo, si cuenta solamente con dos dominios, además del dominio predeterminado, elimine la entrada de
    kdc
    sin usar.
  9. Guarde el archivo.