PowerEdge. Настройка LDAPS для интеграции с Active Directory

При настройке продукта Dell, например OpenManage Enterprise или iDRAC, для интеграции с Microsoft Active Directory соединение с контроллером домена через LDAPS может быть разорвано, даже если параметры каталога отображаются правильно, а порт 636 доступен. Это может произойти, если на целевом контроллере домена не установлен действительный сертификат.

По умолчанию доменные службы Active Directory связываются с портом 389 для незащищенных запросов LDAP и портом 636 для LDAP через SSL (LDAPS). Однако несмотря на то, что порт 636 открыт в брандмауэре Windows и принимает TCP-подключения, любые запросы каталогов, выполненные через порт 636, отклоняются, если контроллер домена не имеет доверенного сертификата для привязки к службе во время запуска.

Подключение LDAPS можно проверить с помощью инструмента LDP, установленного на контроллере домена по умолчанию в качестве компонента функций управления Active Directory.

1. Выполните следующую команду в командной строке администратора на контроллере домена.

ldp.exe

2. Нажмите Подключение > Подключить.
3. Введите FQDN контроллера домена и подключитесь через порт 636 с помощью SSL.

4. Проверьте результат. Если при подключении возникает «Ошибка <0x51>: сбой подключения», то контроллер домена не имеет сертификата LDAPS, а продукты Dell могут использовать интеграцию Active Directory с этим контроллером домена, только если такой сертификат установлен.

Для решения этой проблемы необходимо установить действительный сертификат на все контроллеры домена, которые система использует для интеграции с AD. Корпорация Майкрософт опубликовала статью, в которой описаны требования к сертификатам LDAPS и процесс запроса сертификата с сервера источника сертификатов: https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/enable-ldap-over-ssl-3rd-certification-authority

В качестве альтернативы, поскольку сертификату должен доверять только сам контроллер домена, клиенты без сервера центра сертификации могут включить LDAPS, создав самозаверяющий сертификат на контроллера домена, выполнив следующие действия.

1. Откройте окно PowerShell с правами администратора на контроллере домена.
2. Для создания сертификата выполните следующую команду:

New-SelfSignedCertificate -DnsName dc1.domain.local, dc1 -CertStoreLocation cert:\LocalMachine\My

(replacing "dc1.domain.local" and "dc1" with the FQDN and name of your domain controller)

3. Выполните следующую команду, чтобы открыть оснастку управления сертификатами для локального компьютера.

certlm.msc

4. Перейдите в раздел Личное > Сертификаты, найдите созданный сертификат и скопируйте его в раздел Доверенные корневые центры сертификации > Сертификаты.
5. Подождите, пока LDAPS не будет привязана к порту 636 с помощью нового сертификата. Эта процедура выполняется автоматически и занимает менее минуты.
6. Используйте следующую команду для проверки подключения к DC с помощью SSL через порт 636.

ldp.exe

После установки действительного сертификата на контроллер домена и успешной проверки подключения через ldp.exe тест интеграции службы каталогов на iDRAC/OME может установить связь с контроллером домена.

PowerEdge R240, PowerEdge R250, PowerEdge R340, PowerEdge R350, PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R740 , PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R840, PowerEdge R940, PowerEdge R940xa, PowerEdge T140, PowerEdge T150, PowerEdge T340, PowerEdge T350, PowerEdge T440, PowerEdge T550, PowerEdge T640 ... View More View Less