1. 同步组织架构
将AD服务器上的组织架构和账号同步到Panabit。组织单位即地址池名称,用户即为地址池的账号。
a) 安装【AD域同步APP】,打开组织架构页面。 b) 开启组织架构同步,填写AD域的对应参数。
2. 同步在线IP与账号的对应关系 方法1:adlog域控脚本 通过在域控服务器上编辑默认域策略添加用户登录/注销脚本程序,当PC开机登录域时,登录脚本自动执行,主动将AD域账号与IP的对应关系发送到Panabit数据口IP:7777默认端口;当PC关机或者注销时,注销脚本自动运行,发送注销信息给Panabit进行下线。
方法2:kbr5sniff嗅探 Panabit 被动接收经过设备的AD域认证流量,识别登录账号与IP的对应关系。适用于AD域流量经过Panabit或者通过镜像的方式将AD域认证的东西向流量发送到Panabit,这种是比较理想的拓扑;还有一种是二层部署不具备镜像能力或者有多个域控的情况下,这种就需要域控安装kbrsniff程序来发送实时捕获到的AD域认证报文到Panabit数据口IP。
、
方法3:ADMonitor监听 通过监听域控服务器Windows日志的方式将域用户与域控认证日志中的IP与账号对应关系发送到Panabit。 a) Web终端开启功能 floweye adauth config enable=1 b) 运行ADMonitor程序,输入Panabit数据口IP,嗅探端口7777
AD域控制器将用户活动和行为记录保存在安全监控日志,ADMonitor程序将AD域控制器收到用户验证AD域账号登录的Logon日志识别解析用户账户、登录IP等字段信息,通过UDP协议发送到Panabit数据口IP:7777端口。
3. AD同步账号实现方式总结
方式 |
ADMonitor监听域控
| adlog脚本 | Kbrsniff镜像 | 优点 | 成功率高,客户普遍选用的方式 可以实现历史缓存读取 | 可以实现在线登录/注销 | 不需要改动域的配置
| 缺点 | 需要在域控制器安装监听程序 会对域控有一定的资源消耗 | 需要修改域控策略
离线登录、历史缓存机制无法解决 | 对基础环境要求比较高
(需要具备镜像能力)
离线登录、历史缓存机制无法解决
| 适用场景 | 优先选择的主要方案
适用所有场景 | 最早版本方案
适用域控制器可以修改的场景 | 比较传统的方案
适用域控制器不易改动的场景 |
|