用于身份验证扫描的Kerberos凭据

安全控制台现在允许您使用Kerberos网络身份验证协议配置扫描凭据。与所有其他扫描凭据选项一样,您可以在特定于站点或共享的基础上配置Kerberos扫描凭据。

需求

与其他扫描凭据类型不同,Kerberos扫描凭据特性依赖于安全控制台中匹配的外部身份验证源配置。要使用Kerberos进行身份验证扫描,必须配置Kerberos外部身份验证源。

如果尚未配置此外部身份验证源,请参阅Kerberos身份验证页上的说明如何这样做。

约束

由于该特性依赖于匹配的Keberos外部身份验证源进行操作,因此拥有多控制台环境的组织必须采取额外步骤来避免任何配置冲突。

如果您的组织有多个Security Console部署,这些部署都使用相同的Scan Engine,那么这些控制台上的所有外部Kerberos身份验证源必须是相同的.如果每个外部身份验证源之间存在差异,可能会阻止Scan Engine正确地对目标资产进行身份验证。

注-证书测试限制

使用分布式扫描引擎的Kerberos凭据测试将失败,直到您成功地在同一目标上使用这些凭据运行经过身份验证的扫描。这种行为是预期的,因为在扫描开始之前,Security Console不会使用来自匹配的Kerberos外部身份验证源的所需信息。

在这种情况下,当您的证书测试在首次配置中失败时,请不要惊慌。要确定Kerberos凭据是否配置正确,请尝试使用相同凭据进行身份验证扫描,并验证扫描结果的容量是否足够大,以表明身份验证。

Kerberos扫描凭证配置过程

验证您的安全控制台符合外部身份验证源需求,可以通过以下方式配置Kerberos扫描凭据:

配置特定站点证书

在站点配置中配置Kerberos扫描凭据:

  1. 在新的或现有的站点配置中,单击身份验证选项卡。
  2. 单击添加凭证subtab。的一般显示“添加凭据”视图的部分。
  3. 名称和可选的描述您的凭证。
  4. 单击账户子选项卡以打开凭据服务选择视图。
  5. 展开“Service”旁边的下拉菜单并选择Kerberos
  6. 在“realm”字段中输入Kerberos领域的名称。
  7. 输入用户名、密码和密码确认。
  8. 如果需要,打开限制选项卡将这些凭据的使用限制为单个资产。
  9. 点击创建当完成。
  10. 最后,点击保存在屏幕的右上角保存您的站点配置。

配置共享凭证

要配置共享Kerberos扫描凭据,请执行以下操作:

  1. 在左侧导航菜单中,单击政府选项卡。
  2. 在“扫描选项”部分,单击创建在“共享凭证”旁边
  3. 弹出“共享扫描凭据配置”页面。在一般选项卡,名称和可选的描述您的凭证。
  4. 单击账户选项卡。展开“Service”旁边的下拉菜单并选择Kerberos
  5. 在“realm”字段中输入Kerberos领域的名称。
  6. 输入用户名、密码和密码确认。
  7. 如果需要,打开限制选项卡将这些凭据的使用限制为单个资产。
  8. 单击现场作业选项卡。确定凭证是否应该对所有站点可用,还是只对您指定的站点可用。
  9. 最后,点击保存,以完成共享凭据配置。

Kerberos凭证准备好了!

为了运行经过身份验证的扫描,现在应该正确配置了Kerberos扫描凭据。