AD域账号的同步方式
1. 同步组织架构将AD服务器上的组织架构和账号同步到Panabit。组织单位即地址池名称,用户即为地址池的账号。
a) 安装【AD域同步APP】,打开组织架构页面。b) 开启组织架构同步,填写AD域的对应参数。
2. 同步在线IP与账号的对应关系方法1:adlog域控脚本通过在域控服务器上编辑默认域策略添加用户登录/注销脚本程序,当PC开机登录域时,登录脚本自动执行,主动将AD域账号与IP的对应关系发送到Panabit数据口IP:7777默认端口;当PC关机或者注销时,注销脚本自动运行,发送注销信息给Panabit进行下线。
方法2:kbr5sniff嗅探Panabit 被动接收经过设备的AD域认证流量,识别登录账号与IP的对应关系。适用于AD域流量经过Panabit或者通过镜像的方式将AD域认证的东西向流量发送到Panabit,这种是比较理想的拓扑;还有一种是二层部署不具备镜像能力或者有多个域控的情况下,这种就需要域控安装kbrsniff程序来发送实时捕获到的AD域认证报文到Panabit数据口IP。、
方法3:ADMonitor监听通过监听域控服务器Windows日志的方式将域用户与域控认证日志中的IP与账号对应关系发送到Panabit。a) Web终端开启功能 floweye adauthconfig enable=1 b) 运行ADMonitor程序,输入Panabit数据口IP,嗅探端口7777
AD域控制器将用户活动和行为记录保存在安全监控日志,ADMonitor程序将AD域控制器收到用户验证AD域账号登录的Logon日志识别解析用户账户、登录IP等字段信息,通过UDP协议发送到Panabit数据口IP:7777端口。
ADMonitor程序下载:
3. AD同步账号实现方式总结
方式
ADMonitor监听域控
adlog脚本Kbrsniff镜像
优点成功率高,客户普遍选用的方式可以实现历史缓存读取可以实现在线登录/注销不需要改动域的配置
缺点需要在域控制器安装监听程序会对域控有一定的资源消耗需要修改域控策略
离线登录、历史缓存机制无法解决对基础环境要求比较高
(需要具备镜像能力)
离线登录、历史缓存机制无法解决
适用场景优先选择的主要方案
适用所有场景最早版本方案
适用域控制器可以修改的场景比较传统的方案
适用域控制器不易改动的场景
页:
[1]