Windows Server: Come abilitare il protocollo LDAPS (Secure Lightweight Directory Access Protocol) su un controller di dominio Active Directory

LDAP (Lightweight Directory Access Protocol) è uno dei protocolli principali di Active Directory Domain Services. LDAP sicuro (LDAPS o LDAP su SSL o TLS) consente di proteggere le comunicazioni LDAP tramite la crittografia.
 
Un certificato appropriato deve essere generato e installato in un controller di dominio affinché il controller di dominio utilizzi LDAPS. È possibile utilizzare quanto segue come modello per la richiesta di certificato:

 

;----------------- request.inf -----------------

[Version]

Signature="$Windows NT$

[NewRequest]

Subject = "CN=<DC_fqdn>" ; replace with the FQDN of the DC
KeySpec = 1
KeyLength = 1024
; Larger key sizes (2048, 4096, 8192, or 16384)
; can also be used. They are more secure but larger
; sizes have a greater performance impact.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1 ; Server Authentication

;-----------------------------------------------

Per generare un certificato LDAPS, copiare il testo precedente in Blocco note. Modificare <DC_fqdn> nella riga Subject con il nome di dominio completo del controller di dominio in cui è installato il certificato (ad esempio, dc1.ad.domain.com).

A seconda dell'autorità di certificazione (CA), potrebbero essere necessarie anche alcune o tutte le seguenti informazioni:

• Indirizzo e-mail (E)
• Unità organizzativa (OU)
• Organizzazione (O)
• Città o località (L)
• Stato o provincia (S)
• Paese o regione (C)

Tutte queste informazioni possono essere aggiunte alla riga dell'oggetto , come in questo esempio:

Subject="E=user@domain.com, CN=dc1.ad.domain.com, OU=Information Technology, O=Company, L=Anywhere, S=Kansas, C=US"

Salvare il file di testo come request.inf ed eseguire certreq -new request.inf request.req da un prompt dei comandi. In questo modo viene generata una richiesta di certificato denominata request.req utilizzando le informazioni fornite nel file di testo.

Una volta generata, la richiesta deve essere inviata alla CA. La procedura di invio non può essere documentata qui, in quanto dipende dalla CA.

La CA genera il certificato, che deve essere scaricato nel controller di dominio. Anche la procedura di download varia, ma il certificato deve essere codificato come base64.

Salvare il certificato sul controller di dominio come ldaps.cer ed eseguire certreq -accept ldaps.cer per completare la richiesta in sospeso e installare il certificato. Per impostazione predefinita, il certificato viene installato nell'archivio personale del controller di dominio. è possibile utilizzare lo snap-in MMC Certificati per confermare questa situazione.

A questo punto è necessario riavviare il controller di dominio. Quando il controller di dominio viene riavviato in Windows, LDAPS viene utilizzato automaticamente per la comunicazione LDAP. Non sono necessarie ulteriori configurazioni.

Esecuzione di netstat su qualsiasi controller di dominio mostra che il processo di lsass.exe è in ascolto sulle porte TCP 389 e 636, indipendentemente dal fatto che sia stata seguita o meno la procedura descritta sopra. Tuttavia, LDAPS non può essere utilizzato fino a quando non viene installato un certificato appropriato.

È possibile utilizzare lo strumento ADSI Edit per verificare che LDAPS sia in uso:

1. Avviare ADSI Edit (adsiedit.msc).
2. Nel riquadro a sinistra, cliccare con il pulsante destro del mouse su ADSI Edit e selezionare Connect to... .
3. Selezionare un contesto di denominazione dal menu a discesa.
4. Selezionare Usa crittografia basata su SSL.
5. Fare clic su Avanzate... .
6. Inserire 636 come numero di porta e cliccare su OK.
7. La porta 636 dovrebbe essere visualizzata nel campo Path vicino alla parte superiore della finestra. Clicca su OK per connetterti.
8. Se la connessione ha esito positivo, LDAPS è in uso.

PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX5016s, PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360 , PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T40, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640 ... View More View Less