Création du fichier de configuration pour l'intégration d'Active Directory
Vous devez créer un fichier de configuration
krb5.ini
(ou krb5.conf
sous Linux) pour donner les informations de Symantec Data Loss Prevention
concernant vos emplacements de structure et de serveur de domaine Active Directory. Cette étape est requise si vous avez plus d'un domaine Active Directory. Cependant, même si votre structure Active Directory inclut un seul domaine, il est toujours recommandé de créer ce fichier. L'utilitaire kinit utilise ce fichier pour confirmer que Symantec Data Loss Prevention
peut communiquer avec le serveur Active Directory.Si vous exécutez
Symantec Data Loss Prevention
sous Linux, vérifiez la connexion Active Directory à l'aide de l'utilitaire kinit. Vous devez renommer le fichier krb5.ini
sous la forme krb5.conf
. L'utilitaire kinit requiert que le fichier soit nommé krb5.conf
sous Linux. Symantec Data Loss Prevention
suppose que vous utilisez kinit pour vérifier la connexion Active Directory et vous invite à renommer le fichier sous la forme krb5.conf.
Symantec Data Loss Prevention
fournit un fichier témoin krb5.ini
dont vous pouvez modifier l'utilisation avec votre propre système. L'exemple de fichier est stocké dans Protect\config
(par exemple, \Program Files\Symantec\DataLossPrevention\EnforceServerProtect\config
sur Windows ou /opt/Symantec/DataLossPrevention/EnforceServer/16.0/Protect/config
sur Linux). Si vous exécutez Symantec Data Loss Prevention
sous Linux, Symantec recommande de renommer le fichier en krb5.conf
. Le fichier témoin, qui est divisé en deux sections, ressemble à ceci :[libdefaults] default_realm = TEST.LAB [realms] ENG.COMPANY.COM = { kdc = engAD.eng.company.com } MARK.COMPANY.COM = { kdc = markAD.eng.company.com } QA.COMPANY.COM = { kdc = qaAD.eng.company.com }
La section
[libdefaults]
identifie le domaine par défaut. (Notez que les domaines Kerberos correspondent aux domaines Active Directory.) La section [realms]
définit un serveur Active Directory pour chaque domaine. Dans l'exemple précédent, le serveur Active Directory pour ENG.COMPANY.COM est engAD.eng
.company.com.- Pour créer le fichier krb5.ini ou krb5.conf
- Accédez àet recherchez le fichier d'exempleSymantecDLP\Protect\configkrb5.ini. Par exemple, localisez le fichier dans\Program Files\Symantec\DataLossPrevention\EnforceServerProtect\config(sur Windows) ou/opt/Symantec/DataLossPrevention/EnforceServer/16.0/Protect/config(sur Linux).
- Copiez le fichier témoinkrb5.inisur le répertoire c:\windows (sous Windows) ou /etc (sous Linux). Si vous exécutezSymantec Data Loss Preventionsous Linux, prévoyez de vérifier la connexion Active Directory à l'aide de l'outil de ligne de commande kinit. Renommez le fichier sous la formekrb5.conf.
- Ouvrez le fichierkrb5.inioukrb5.confdans un éditeur de texte.
- Remplacez la valeur témoindefault_realmpar le nom entièrement qualifié de votre domaine par défaut. (La valeur pourdefault_realmdoit être en lettres majuscules.) Par exemple, modifiez la valeur pour qu’elle ressemble à ce qui suit :default_realm = MYDOMAIN.LAB
- Remplacez les autres noms de domaine témoin par les noms de vos domaines réels. (Les noms de domaine doivent être en lettres majuscules.) Par exemple, remplacezENG.COMPANY.COMparADOMAIN.COMPANY.COM.
- Remplacez les valeurs d'exemplekdcpar les noms d'hôte ou les adresses IP de vos serveurs Active Directory. (Assurez-vous de suivre le format spécifié, dans lequel les parenthèses d’ouverture sont immédiatement suivies par des sauts de ligne.) Par exemple, remplacezengAD.eng.company.comparADserver.eng.company.com, etc.
- Supprimez toutes les entrées inutilisées dekdcà partir du fichier de configuration. Par exemple, si vous avez seulement deux domaines à côté du domaine par défaut, supprimez l'entrée inutilisée dekdc.
- Enregistrez le fichier.