Windows Server: Como habilitar o protocolo LDAPS (Secure Lightweight Directory Access Protocol) em um controlador de domínio do Active Directory

O LDAP (Lightweight Directory Access Protocol) é um dos principais protocolos dos Serviços de Domínio Active Directory. O LDAP seguro (LDAPS ou LDAP sobre SSL ou TLS) fornece um meio de proteger a comunicação LDAP por meio de criptografia.
 
Um certificado apropriado deve ser gerado e instalado em um DC para que este use o LDAPS. Os itens a seguir podem ser usados como um modelo para a solicitação de certificado:

 

;----------------- request.inf -----------------

[Version]

Signature="$Windows NT$

[NewRequest]

Subject = "CN=<DC_fqdn>" ; replace with the FQDN of the DC
KeySpec = 1
KeyLength = 1024
; Larger key sizes (2048, 4096, 8192, or 16384)
; can also be used. They are more secure but larger
; sizes have a greater performance impact.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1 ; Server Authentication

;-----------------------------------------------

Para gerar um certificado LDAPS, copie o texto acima no bloco de notas. Altere <DC_fqdn> na linha de assunto para o nome do domínio completo do controlador de domínio em que o certificado está instalado (por exemplo, dc1.ad.domain.com).

Dependendo da autoridade de certificação (CA), algumas ou todas as seguintes informações também podem ser necessárias:

• Endereço de e-mail (E)
• Unidade organizacional (OU)
• Organização (O)
• Cidade ou localidade (L)
• Estado ou província (S)
• País ou região (C)

Todas essas informações podem ser adicionadas à linha Assunto , como neste exemplo:

Subject="E=user@domain.com, CN=dc1.ad.domain.com, OU=Information Technology, O=Company, L=Anywhere, S=Kansas, C=US"

Salve o arquivo de texto como request.inf e execute certreq -new request.inf request.req em um prompt de comando. Isso gera uma solicitação de certificado chamada request.req usando as informações fornecidas no arquivo de texto.

Depois que a solicitação for gerada, ela deverá ser enviada à CA. O procedimento de envio não pode ser documentado aqui, pois depende da CA.

A CA gera o certificado, que deve ser baixado para o DC. O procedimento de download também varia, mas o certificado deve ser codificado como base64.

Salve o certificado no DC como ldaps.cer e execute certreq -accept ldaps.cer para concluir a solicitação pendente e instalar o certificado. Por padrão, o certificado é instalado no armazenamento pessoal do DC; o snap-in MMC de certificados pode ser usado para confirmar isso.

Agora, o DC deve ser reinicializado. Quando o DC é inicializado novamente no Windows, o LDAPS é usado automaticamente para comunicação LDAP; Nenhuma configuração adicional é necessária.

Executando o netstat em qualquer DC mostra que o processo de lsass.exe escuta nas portas TCP 389 e 636, independentemente de o procedimento acima ter sido seguido ou não. No entanto, o LDAPS não pode ser usado até que um certificado apropriado seja instalado.

A ferramenta ADSI Edit pode ser usada para confirmar se o LDAPS está em uso:

1. Iniciar ADSI Edit (adsiedit.msc).
2. No painel esquerdo, clique com o botão direito do mouse em ADSI Edit e selecione Connect to... .
3. Selecione um contexto de nomenclatura no menu suspenso.
4. Marque Use SSL-based encryption.
5. Clique em Avançado... .
6. Digite 636 para o número da porta e clique em OK.
7. A porta 636 deve aparecer no campo Caminho , próximo à parte superior da janela. Clique em OK para se conectar.
8. Se a conexão for bem-sucedida, o LDAPS está em uso.

PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX5016s, PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360 , PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T40, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640 ... View More View Less