Jump to content
Kaspersky Support Forum

cepewka

Members
 View Profile  See their activity

  • Posts

    8

  • Joined

  • Last visited

 Content Type 

Posts posted by cepewka

    проблема с правилами трафика KWTS

    in Kaspersky Security for Internet Gateway

    Posted · Edited by cepewka

    Коллеги, Здравствуйте.

    Настроил LDAP, настроил Kerberos, все ок.

    Но столкнулся с проблемой, что при конфигурации правил. Я создаю доменную группу(Global), добавляю туда машины, и трафик ходит независимо от того запрещено или нет. Если же я точечно выбираю ип и машины, то все работает корректно.

    .thumb.png.47c01c0206d086409992c1ea377f32b4.png

    КЭШ LDAP пуст

    in Kaspersky Security for Internet Gateway

    Posted · Edited by cepewka

    Коллеги, я так много тут всего написал, вот эталонная строка, все заработало со свистом. спасибо всем.

    (ktpass.exe -princ HTTP/имя сервера KWTS.d-o-m-a-n.l-o-c-a-l@D-O-MA-N.L-O-C-A-L -mapuser kwts@D-O-MA-N.L-O-C-A-L -crypto AES256-SHA1 -pass HelloWorld77 -ptype KRB5_NT_PRINCIPAL -out "C:\temp\kwts.keytab") ,

    КЭШ LDAP пуст

    in Kaspersky Security for Internet Gateway

    Posted

    сейчас ещё попробовал вот так, тоже работает  (ktpass.exe -princ HTTP/dc01.d-o-m-a-n.l-o-c-a-l@D-O-MA-N.L-O-C-A-L -mapuser kwts@D-O-MA-N.L-O-C-A-L -crypto AES256-SHA1 -pass HelloWorld77 -ptype KRB5_NT_PRINCIPAL -out "C:\temp\kwts.keytab") , но как написано вот тут, не работало.  https://support.kaspersky.com/KWTS/6.1/ru-RU/233047.htm

    Там даже при создании keytab он ругается.

    NOTE: creating a keytab but not mapping principal to any user.
    For the account to work within a Windows domain, the
    principal must be mapped to an account, either at the
    domain level (with /mapuser) or locally (using ksetup)
    If you intend to map kwts@D-O-MA-N.L-O-C-A-L to an account through other means
    or don't need to map the user, this message can safely be ignored.
    WARNING: pType and account type do not match. This might cause problems.
    Key created.
    Output keytab to C:\temp\kwts.keytab
    Keytab version: 0x502

    КЭШ LDAP пуст

    in Kaspersky Security for Internet Gateway

    Posted · Edited by cepewka

    нет, я не настраивал по этой инструкции, как вы можете заметить, у меня нету дампа соли и прочего.

    и вот эта строчка у меня совсем другая.  HTTP/<полное доменное имя (FQDN) Управляющего узла>@<realm имя домена Active Directory в верхнем регистре>

    и если ещё почитать тут - там тоже не завелось.

     

    КЭШ LDAP пуст

    in Kaspersky Security for Internet Gateway

    Posted

    4 часа назад, ElvinE5 сказал:

    Попробуйте так

    создайте пользователя по правилам

    https://support.kaspersky.com/KWTS/6.1/ru-RU/233047.htm

    укажите в свойствах УЗ что пароль не истекает, и что поддерживается 256 разрядное шифрования

      Скрыть контент

    image.png.e687e9f0ee255dd821ce7157d7ffa16b.pngimage.png.63abfcd3221cd2d73170b1e2e52ad2de.png

     

    пример команды ... выполняется на DC

    C:\Windows\system32\ktpass.exe -princ kwts.ldap.user@<ВАШ.ДОМЕН в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <пароль пользователя kwts.ldap.user> -out c:\kwts.ldap.keytab

     

    у вас ошибка что нет соединение с контролером домена.

    Здравствуйте, да все так и сделал. но результата нету=(

    КЭШ LDAP пуст

    in Kaspersky Security for Internet Gateway

    Posted · Edited by cepewka

    Коллеги, пробую развернуть kwts,

    создал уз , сделал keytab

    ktpass.exe -princ k w t s @D O M A I N. L O C A L -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass PrivetMedved03 -out C:\tmp\kwts.keytab

    но получаю ошибку КЭШ LDAP пуст

    2023_10_31_14_30_47_Window.png

×
×
  • Create New...