Windows Server : Activation du protocole LDAPS (Secure Lightweight Directory Access Protocol) sur un contrôleur de domaine Active Directory

Summary: Cet article décrit les étapes à suivre pour activer Secure LDAP sur un contrôleur de domaine Active Directory.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Le protocole LDAP (Lightweight Directory Access Protocol) est l’un des protocoles de base des Active Directory Domain Services. LDAP sécurisé (LDAPS ou LDAP sur SSL ou TLS) fournit un moyen de sécuriser la communication LDAP via le chiffrement.
 
Remarque : Le contrôleur de domaine doit être redémarré à la fin de cette procédure. Selon l’environnement, une fenêtre de maintenance planifiée peut être nécessaire.

Un certificat approprié doit être généré et installé sur un contrôleur de domaine afin que celui-ci puisse utiliser LDAPS. Les éléments suivants peuvent être utilisés comme modèle pour la demande de certificat :

 

;----------------- request.inf -----------------

[Version]

Signature="$Windows NT$

[NewRequest]

Subject = "CN=<DC_fqdn>" ; replace with the FQDN of the DC
KeySpec = 1
KeyLength = 1024
; Larger key sizes (2048, 4096, 8192, or 16384)
; can also be used. They are more secure but larger
; sizes have a greater performance impact.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1 ; Server Authentication

;-----------------------------------------------


Pour générer un certificat LDAPS, copiez le texte ci-dessus dans le Bloc-notes. Remplacez <DC_fqdn> dans la ligne Objet par le nom de domaine complet du contrôleur de domaine sur lequel le certificat est installé (par exemple, dc1.ad.domain.com).

En fonction de l’autorité de certification (AC), certaines ou toutes les informations suivantes peuvent également être requises :

  • Adresse e-mail (E)
  • Unité d’organisation (OU)
  • Organisme (O)
  • Ville ou localité (L)
  • État ou province(S)
  • Pays ou région (C)
Toutes ces informations peuvent être ajoutées à la ligne Objet , comme dans cet exemple : 
Subject="E=user@domain.com, CN=dc1.ad.domain.com, OU=Information Technology, O=Company, L=Anywhere, S=Kansas, C=US"
Enregistrez le fichier texte sous le nom request.inf et exécutez certreq -new request.inf request.req à partir d’une invite de commande. Cela génère une demande de certificat nommée request.req à l’aide des informations fournies dans le fichier texte.

Une fois la demande générée, elle doit être soumise à l’autorité de certification. La procédure d’envoi ne peut pas être documentée ici, car elle dépend de l’autorité de certification.

L’autorité de certification génère le certificat, qui doit être téléchargé sur le contrôleur de domaine. La procédure de téléchargement varie également, mais le certificat doit être codé en base64.

Enregistrez le certificat sur le contrôleur de domaine en tant que ldaps.cer, puis exécutez certreq -accept ldaps.cer pour compléter la demande en attente et installer le certificat. Par défaut, le certificat est installé dans le magasin personnel du contrôleur de domaine ; le composant logiciel enfichable Certificats MMC peut être utilisé pour le confirmer.

Le contrôleur de domaine doit maintenant être redémarré. Lorsque le contrôleur de domaine redémarre dans Windows, LDAPS est automatiquement utilisé pour la communication LDAP ; Aucune configuration supplémentaire n’est requise.

Additional Information

Exécution de l’opération netstat sur n’importe quel contrôleur de domaine indique que le processus lsass.exe écoute sur les ports TCP 389 et 636, que la procédure ci-dessus ait été suivie ou non. Toutefois, LDAPS ne peut pas être utilisé tant qu’un certificat approprié n’est pas installé.

L’outil de modification ADSI peut être utilisé pour confirmer que LDAPS est en cours d’utilisation :

  1. Lancez ADSI Edit (adsiedit.msc).
  2. Dans le volet de gauche, cliquez avec le bouton droit de la souris sur Modifier ADSI et sélectionnez Se connecter à... .
  3. Sélectionnez un contexte de dénomination dans le menu déroulant.
  4. Cochez la case Use SSL-based encryption.
  5. Cliquez sur Avancé... .
  6. Saisissez 636 comme numéro de port, puis cliquez sur OK.
  7. Le port 636 doit s’afficher dans le champ Path près de la partie supérieure de la fenêtre. Cliquez sur OK pour vous connecter.
  8. Si la connexion réussit, LDAPS est en cours d’utilisation.

Affected Products

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022

Products

PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX5016s, PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360 , PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T40, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640 ...
Article Properties
Article Number: 000212661
Article Type: How To
Last Modified: 11 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.