Création du fichier de configuration pour l'intégration d'Active Directory

Vous devez créer un fichier de configuration
krb5.ini
(ou
krb5.conf
sous Linux) pour donner les informations de
Symantec Data Loss Prevention
concernant vos emplacements de structure et de serveur de domaine Active Directory. Cette étape est requise si vous avez plus d'un domaine Active Directory. Cependant, même si votre structure Active Directory inclut un seul domaine, il est toujours recommandé de créer ce fichier. L'utilitaire kinit utilise ce fichier pour confirmer que
Symantec Data Loss Prevention
peut communiquer avec le serveur Active Directory.
Si vous exécutez
Symantec Data Loss Prevention
sous Linux, vérifiez la connexion Active Directory à l'aide de l'utilitaire kinit. Vous devez renommer le fichier
krb5.ini
sous la forme
krb5.conf
. L'utilitaire kinit requiert que le fichier soit nommé
krb5.conf
sous Linux.
Symantec Data Loss Prevention
suppose que vous utilisez kinit pour vérifier la connexion Active Directory et vous invite à renommer le fichier sous la forme
krb5.conf.
Symantec Data Loss Prevention
fournit un exemple de fichier
krb5.ini
dont vous pouvez modifier l'utilisation avec votre propre système. L'exemple de fichier est stocké sous
Protect\config
(par exemple,
\Program Files\Symantec\DataLossPrevention\EnforceServer\
16.0.10000
\Protect\config
(Windows) ou
/opt/Symantec/DataLossPrevention/EnforceServer/
16.0.10000
/Protect/config
(Linux)). Si vous exécutez
Symantec Data Loss Prevention
sous Linux, Symantec recommande de renommer le fichier en
krb5.conf
. L'exemple de fichier, qui est divisé en deux sections, ressemble à ceci :
[libdefaults] default_realm = TEST.LAB [realms] ENG.COMPANY.COM = { kdc = engAD.eng.company.com } MARK.COMPANY.COM = { kdc = markAD.eng.company.com } QA.COMPANY.COM = { kdc = qaAD.eng.company.com }
La section
[libdefaults]
identifie le domaine par défaut. (Notez que les domaines Kerberos correspondent aux domaines Active Directory.) La section
[realms]
définit un serveur Active Directory pour chaque domaine. Dans l'exemple précédent, le serveur Active Directory pour ENG.COMPANY.COM est
engAD.eng
.company.com.
  1. Pour créer le fichier krb5.ini ou krb5.conf
  2. Accédez à
    SymantecDLP
    \Protect\config
    et recherchez le fichier d'exemple
    krb5.ini
    . Par exemple, localisez le fichier sous
    \Program Files\Symantec\DataLossPrevention\EnforceServerProtect\config
    (Windows) ou
    /opt/Symantec/DataLossPrevention/EnforceServer/
    16.0.10000
    /Protect/config
    (Linux).
  3. Copiez l'exemple de fichier
    krb5.ini
    sur le répertoire c:\windows (sous Windows) ou /etc (sous Linux). Si vous exécutez
    Symantec Data Loss Prevention
    sous Linux, prévoyez de vérifier la connexion Active Directory à l'aide de l'outil de ligne de commande kinit. Renommez le fichier sous la forme
    krb5.conf
    .
  4. Ouvrez le fichier
    krb5.ini
    ou
    krb5.conf
    dans un éditeur de texte.
  5. Remplacez l'exemple de valeur
    default_realm
    par le nom entièrement qualifié de votre domaine par défaut. (La valeur pour
    default_realm
    doit être en lettres majuscules.) Par exemple, modifiez la valeur pour qu’elle ressemble à ce qui suit :
    default_realm = MYDOMAIN.LAB
  6. Remplacez les autres exemples de noms de domaine par les noms de vos domaines réels. (Les noms de domaine doivent être en lettres majuscules.) Par exemple, remplacez
    ENG.COMPANY.COM
    par
    ADOMAIN.COMPANY.COM
    .
  7. Remplacez les valeurs d'exemple
    kdc
    par les noms d'hôte ou les adresses IP de vos serveurs Active Directory. (Assurez-vous de suivre le format spécifié, dans lequel les parenthèses d’ouverture sont immédiatement suivies par des sauts de ligne.) Par exemple, remplacez
    engAD.eng.company.com
    par
    ADserver.eng.company.com
    , etc.
  8. Supprimez toutes les entrées inutilisées de
    kdc
    à partir du fichier de configuration. Par exemple, si vous avez seulement deux domaines à côté du domaine par défaut, supprimez l'entrée inutilisée de
    kdc
    .
  9. Enregistrez le fichier.