Windows Server. Включение протокола LDAPS (Secure Lightweight Directory Access Protocol) на контроллере домена Active Directory

LDAP (Lightweight Directory Access Protocol) — один из основных протоколов доменных служб Active Directory. Безопасный протокол LDAP (LDAPS, LDAP over SSL или TLS) предоставляет средства защиты обмена данными LDAP с помощью шифрования.
 
Для того, чтобы контроллер домена мог использовать протокол LDAPS, необходимо создать и установить на контроллере домена соответствующий сертификат. В качестве шаблона для запроса сертификата можно использовать следующее:

 

;----------------- request.inf -----------------

[Version]

Signature="$Windows NT$

[NewRequest]

Subject = "CN=<DC_fqdn>" ; replace with the FQDN of the DC
KeySpec = 1
KeyLength = 1024
; Larger key sizes (2048, 4096, 8192, or 16384)
; can also be used. They are more secure but larger
; sizes have a greater performance impact.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1 ; Server Authentication

;-----------------------------------------------

Чтобы создать сертификат LDAPS, скопируйте приведенный выше текст в Блокнот. Измените <DC_fqdn> в строке Subject на полное доменное имя контроллера домена, на котором установлен сертификат (например, dc1.ad.domain.com).

В зависимости от источника сертификации (CA) может потребоваться некоторая или вся следующая информация:

• Адрес электронной почты (E)
• Организационное подразделение (OU)
• Организация (O)
• Город или населенный пункт (L)
• Штат/провинция (S)
• Страна или регион (C)

Всю эту информацию можно добавить в строку Тема , как в этом примере:

Subject="E=user@domain.com, CN=dc1.ad.domain.com, OU=Information Technology, O=Company, L=Anywhere, S=Kansas, C=US"

Сохраните текстовый файл как request.inf и запустите certreq -new request.inf request.req из командной строки. При этом создается запрос сертификата с именем request.req , используя информацию, содержащуюся в текстовом файле.

После создания запроса его необходимо отправить в ЦС. Процедура подачи документов здесь не может быть задокументирована, так как зависит от ЦС.

ЦС создает сертификат, который необходимо скачать в контроллер домена. Процедура скачивания также отличается, но сертификат должен быть закодирован как base64.

Сохраните сертификат в контроллере домена как ldaps.cer и запустите certreq -accept ldaps.cer , чтобы завершить ожидающий запрос и установить сертификат. По умолчанию сертификат устанавливается в Личном магазине контроллера домена; Для подтверждения этого можно использовать оснастку Сертификаты MMC.

Теперь необходимо перезагрузить контроллер домена. Когда контроллер домена загружается обратно в Windows, протокол LDAPS автоматически используется для обмена данными LDAP. Дальнейшая настройка не требуется.

Запуск команды netstat на любом контроллере домена показывает, что процесс lsass.exe прослушивает TCP-порты 389 и 636 независимо от того, была ли выполнена описанная выше процедура. Однако протокол LDAPS нельзя использовать до тех пор, пока не будет установлен соответствующий сертификат.

Инструмент редактирования ADSI можно использовать для подтверждения использования протокола LDAPS:

1. Запустите редактирование ADSI (adsiedit.msc).
2. На левой панели нажмите правой кнопкой мыши ADSI Edit и выберите Подключиться к... .
3. Выберите контекст именования в раскрывающемся меню.
4. Установите флажок Использовать шифрование на основе SSL.
5. Нажмите Дополнительно... .
6. Введите 636 в качестве номера порта и нажмите кнопку OK.
7. Порт 636 должен появиться в поле Path в верхней части окна. Нажмите кнопку ОК для подключения.
8. Если подключение установлено, LDAPS используется.

PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX5016s, PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360 , PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T40, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640 ... View More View Less