Panabit Support Board!

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 3893|回复: 0

AD域账号的同步方式

[复制链接]
发表于 2023-11-23 16:35:18 | 显示全部楼层 |阅读模式
1. 同步组织架构

将AD服务器上的组织架构和账号同步到Panabit。组织单位即地址池名称,用户即为地址池的账号。
a) 安装【AD域同步APP】,打开组织架构页面。
b) 开启组织架构同步,填写AD域的对应参数。
组织架构.png

2. 同步在线IP与账号的对应关系
方法1:adlog域控脚本
通过在域控服务器上编辑默认域策略添加用户登录/注销脚本程序,当PC开机登录域时,登录脚本自动执行,主动将AD域账号与IP的对应关系发送到Panabit数据口IP:7777默认端口;当PC关机或者注销时,注销脚本自动运行,发送注销信息给Panabit进行下线。
adlog.png adlog2.png

方法2:kbr5sniff嗅探
Panabit 被动接收经过设备的AD域认证流量,识别登录账号与IP的对应关系。适用于AD域流量经过Panabit或者通过镜像的方式将AD域认证的东西向流量发送到Panabit,这种是比较理想的拓扑;还有一种是二层部署不具备镜像能力或者有多个域控的情况下,这种就需要域控安装kbrsniff程序来发送实时捕获到的AD域认证报文到Panabit数据口IP。
KBR.png KBR2.png

方法3:ADMonitor监听
通过监听域控服务器Windows日志的方式将域用户与域控认证日志中的IP与账号对应关系发送到Panabit。
a) Web终端开启功能 floweye adauth  config enable=1
b) 运行ADMonitor程序,输入Panabit数据口IP,嗅探端口7777
admonitor.png admonitor2.png

AD域控制器将用户活动和行为记录保存在安全监控日志,ADMonitor程序将AD域控制器收到用户验证AD域账号登录的Logon日志识别解析用户账户、登录IP等字段信息,通过UDP协议发送到Panabit数据口IP:7777端口。
admonitor3.png


ADMonitor程序下载: ADMonitor_231023_1.rar (47.63 MB, 下载次数: 102)

3. AD同步账号实现方式总结

  
方式
  
  

    ADMonitor监听域控
  
  
  
adlog脚本
  
  
Kbrsniff镜像
  
  
优点
  
  
成功率高,客户普遍选用的方式
  
可以实现历史缓存读取
  
  
可以实现在线登录/注销
  
  
不需要改动域的配置
   
  
  
缺点
  
  
需要在域控制器安装监听程序
  
会对域控有一定的资源消耗
  
  
需要修改域控策略
    离线登录、历史缓存机制无法解决
  
  
对基础环境要求比较高
    (需要具备镜像能力)
    离线登录、历史缓存机制无法解决
   
  
  
适用场景
  
  
优先选择的主要方案
    适用所有场景
  
  
最早版本方案
    适用域控制器可以修改的场景
  
  
比较传统的方案
    适用域控制器不易改动的场景
  

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|北京派网软件有限公司 ( ICP备案序号:京ICP备14008283号 )

GMT+8, 2024-11-21 16:41 , Processed in 0.074797 second(s), 17 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表