Création du fichier de configuration pour l'intégration d'Active Directory
Vous devez créer un fichier de configuration
krb5.ini
(ou krb5.conf
sous Linux) pour donner les informations de Symantec Data Loss Prevention
concernant vos emplacements de structure et de serveur de domaine Active Directory. Cette étape est requise si vous avez plus d'un domaine Active Directory. Cependant, même si votre structure Active Directory inclut un seul domaine, il est toujours recommandé de créer ce fichier. L'utilitaire kinit utilise ce fichier pour confirmer que Symantec Data Loss Prevention
peut communiquer avec le serveur Active Directory.Si vous exécutez
Symantec Data Loss Prevention
sous Linux, vérifiez la connexion Active Directory à l'aide de l'utilitaire kinit. Vous devez renommer le fichier krb5.ini
sous la forme krb5.conf
. L'utilitaire kinit requiert que le fichier soit nommé krb5.conf
sous Linux. Symantec Data Loss Prevention
suppose que vous utilisez kinit pour vérifier la connexion Active Directory et vous invite à renommer le fichier sous la forme krb5.conf.
Symantec Data Loss Prevention
fournit un exemple de fichier krb5.ini
dont vous pouvez modifier l'utilisation avec votre propre système. L'exemple de fichier est stocké sous Protect\config
(par exemple, \Program Files\Symantec\DataLossPrevention\EnforceServer\
(Windows) ou 16.0.10000
\Protect\config/opt/Symantec/DataLossPrevention/EnforceServer/
(Linux)). Si vous exécutez 16.0.10000
/Protect/configSymantec Data Loss Prevention
sous Linux, Symantec recommande de renommer le fichier en krb5.conf
. L'exemple de fichier, qui est divisé en deux sections, ressemble à ceci :[libdefaults] default_realm = TEST.LAB [realms] ENG.COMPANY.COM = { kdc = engAD.eng.company.com } MARK.COMPANY.COM = { kdc = markAD.eng.company.com } QA.COMPANY.COM = { kdc = qaAD.eng.company.com }
La section
[libdefaults]
identifie le domaine par défaut. (Notez que les domaines Kerberos correspondent aux domaines Active Directory.) La section [realms]
définit un serveur Active Directory pour chaque domaine. Dans l'exemple précédent, le serveur Active Directory pour ENG.COMPANY.COM est engAD.eng
.company.com.- Pour créer le fichier krb5.ini ou krb5.conf
- Accédez àet recherchez le fichier d'exempleSymantecDLP\Protect\configkrb5.ini. Par exemple, localisez le fichier sous\Program Files\Symantec\DataLossPrevention\EnforceServerProtect\config(Windows) ou/opt/Symantec/DataLossPrevention/EnforceServer/(Linux).16.0.10000/Protect/config
- Copiez l'exemple de fichierkrb5.inisur le répertoire c:\windows (sous Windows) ou /etc (sous Linux). Si vous exécutezSymantec Data Loss Preventionsous Linux, prévoyez de vérifier la connexion Active Directory à l'aide de l'outil de ligne de commande kinit. Renommez le fichier sous la formekrb5.conf.
- Ouvrez le fichierkrb5.inioukrb5.confdans un éditeur de texte.
- Remplacez l'exemple de valeurdefault_realmpar le nom entièrement qualifié de votre domaine par défaut. (La valeur pourdefault_realmdoit être en lettres majuscules.) Par exemple, modifiez la valeur pour qu’elle ressemble à ce qui suit :default_realm = MYDOMAIN.LAB
- Remplacez les autres exemples de noms de domaine par les noms de vos domaines réels. (Les noms de domaine doivent être en lettres majuscules.) Par exemple, remplacezENG.COMPANY.COMparADOMAIN.COMPANY.COM.
- Remplacez les valeurs d'exemplekdcpar les noms d'hôte ou les adresses IP de vos serveurs Active Directory. (Assurez-vous de suivre le format spécifié, dans lequel les parenthèses d’ouverture sont immédiatement suivies par des sauts de ligne.) Par exemple, remplacezengAD.eng.company.comparADserver.eng.company.com, etc.
- Supprimez toutes les entrées inutilisées dekdcà partir du fichier de configuration. Par exemple, si vous avez seulement deux domaines à côté du domaine par défaut, supprimez l'entrée inutilisée dekdc.
- Enregistrez le fichier.