Windows Server: Jak povolit protokol LDAPS (Secure Lightweight Directory Access Protocol) v řadiči domény služby Active Directory

Protokol LDAP (Lightweight Directory Access Protocol) je jedním ze základních protokolů služby Active Directory Domain Services. Zabezpečený protokol LDAP (LDAPS nebo LDAP přes SSL nebo TLS) poskytuje způsob zabezpečení komunikace LDAP pomocí šifrování.
 
Aby řadič domény mohl používat protokol LDAPS, je nutné vygenerovat a nainstalovat na řadič domény příslušný certifikát. Jako vzor žádosti o certifikát lze použít:

 

;----------------- request.inf -----------------

[Version]

Signature="$Windows NT$

[NewRequest]

Subject = "CN=<DC_fqdn>" ; replace with the FQDN of the DC
KeySpec = 1
KeyLength = 1024
; Larger key sizes (2048, 4096, 8192, or 16384)
; can also be used. They are more secure but larger
; sizes have a greater performance impact.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1 ; Server Authentication

;-----------------------------------------------

Chcete-li vygenerovat certifikát LDAPS, zkopírujte výše uvedený text do Poznámkového bloku. Změňte <DC_fqdn> v řádku Předmět na plně kvalifikovaný název domény řadiče domény, kde je certifikát nainstalovaný (například dc1.ad.domain.com).

V závislosti na certifikačním úřadu (CA) mohou být vyžadovány také některé nebo všechny následující informace:

• E-mailová adresa (E)
• Organizační jednotka (OU)
• Organizace (O)
• Město nebo lokalita (L)
• Stát nebo provincie (S)
• Země nebo oblast (C)

Všechny tyto informace lze přidat do řádku Předmět , jako v tomto příkladu:

Subject="E=user@domain.com, CN=dc1.ad.domain.com, OU=Information Technology, O=Company, L=Anywhere, S=Kansas, C=US"

Uložte textový soubor jako request.inf a spusťte certreq -new request.inf request.req z příkazového řádku. Tím se vygeneruje žádost o certifikát s názvem request.req pomocí informací zadaných v textovém souboru.

Jakmile je požadavek vygenerován, musí být odeslán certifikační autoritě. Postup podání zde nelze dokumentovat, protože závisí na certifikační autoritě.

Certifikační autorita vygeneruje certifikát, který je nutné stáhnout do řadiče domény. Postup stahování se také liší, ale certifikát musí být kódován jako base64.

Uložte certifikát na řadiči domény jako ldaps.cer a spusťte příkaz certreq -accept ldaps.cer dokončete čekající žádost a nainstalujte certifikát. Ve výchozím nastavení je certifikát nainstalovaný v osobním úložišti řadiče domény. K potvrzení této skutečnosti lze použít modul snap-in konzole MMC Certifikáty.

Nyní je nutné restartovat řadič domény. Když se řadič domény znovu spustí do systému Windows, protokol LDAPS se automaticky použije pro komunikaci LDAP. Není nutná žádná další konfigurace.

Spuštěním netstat Příkaz na libovolném řadiči domény ukazuje, že proces lsass.exe naslouchá na portech TCP 389 a 636 bez ohledu na to, zda byl dodržen výše uvedený postup. Protokol LDAPS však nelze použít, dokud není nainstalován příslušný certifikát.

K potvrzení, že se LDAPS používá, lze použít nástroj ADSI Edit:

1. Spusťte Editor rozhraní ADSI (adsiedit.msc).
2. V levém podokně klikněte pravým tlačítkem na Upravit rozhraní ADSI a vyberte Připojit k... .
3. Z rozevírací nabídky vyberte názvový kontext.
4. Zaškrtněte políčko Použít šifrování založené na protokolu SSL.
5. Klepněte na tlačítko Upřesnit... .
6. Jako číslo portu zadejte 636 a klikněte na OK.
7. Port 636 by se měl zobrazit v poli Cesta v horní části okna. Klepnutím na tlačítko OK se připojte.
8. Pokud je připojení úspěšné, používá se protokol LDAPS.

PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX5016s, PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360 , PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T40, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640 ... View More View Less