Windows Server: Jak włączyć protokół LDAPS (Secure Lightweight Directory Access Protocol) na kontrolerze domeny usługi Active Directory

Protokół LDAP (Lightweight Directory Access Protocol) jest jednym z podstawowych protokołów usług domenowych w usłudze Active Directory. Bezpieczny protokół LDAP (LDAPS lub LDAP przez SSL lub TLS) umożliwia zabezpieczenie komunikacji LDAP za pomocą szyfrowania.
 
Aby kontroler domeny mógł korzystać z LDAPS, należy wygenerować i zainstalować odpowiedni certyfikat na kontrolerze domeny. Następujące elementy mogą służyć jako szablon żądania certyfikatu:

 

;----------------- request.inf -----------------

[Version]

Signature="$Windows NT$

[NewRequest]

Subject = "CN=<DC_fqdn>" ; replace with the FQDN of the DC
KeySpec = 1
KeyLength = 1024
; Larger key sizes (2048, 4096, 8192, or 16384)
; can also be used. They are more secure but larger
; sizes have a greater performance impact.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1 ; Server Authentication

;-----------------------------------------------

Aby wygenerować certyfikat LDAPS należy skopiować powyższy tekst do Notatnika. Zmień <DC_fqdn> w wierszu tematu na w pełni kwalifikowaną nazwę domeny kontrolera domeny, na którym zainstalowano certyfikat (na przykład dc1.ad.domain.com).

W zależności od urzędu certyfikacji mogą być również wymagane niektóre lub wszystkie następujące informacje:

• Adres e-mail (E)
• Jednostka organizacyjna (OU)
• Organizacja (O)
• Miejscowość lub miejscowość (L)
• Stan lub prowincja (S)
• Kraj lub region (C)

Wszystkie te informacje można dodać do wiersza tematu , tak jak w tym przykładzie:

Subject="E=user@domain.com, CN=dc1.ad.domain.com, OU=Information Technology, O=Company, L=Anywhere, S=Kansas, C=US"

Zapisz plik tekstowy jako request.inf i uruchom polecenie certreq -new request.inf request.req z wiersza polecenia. Spowoduje to wygenerowanie żądania certyfikatu o nazwie request.req przy użyciu informacji podanych w pliku tekstowym.

Po wygenerowaniu żądania należy je przesłać do urzędu certyfikacji. Procedura składania wniosków nie może być tutaj udokumentowana, ponieważ zależy od CA.

CA generuje certyfikat, który należy pobrać do kontrolera domeny. Procedura pobierania również się różni, ale certyfikat musi być zakodowany jako base64.

Zapisz certyfikat na kontrolerze domeny jako ldaps.cer i uruchom polecenie certreq -accept ldaps.cer , aby ukończyć oczekujące żądanie i zainstalować certyfikat. Domyślnie certyfikat jest instalowany w magazynie osobistym kontrolera domeny; Aby to potwierdzić, można użyć przystawki Certyfikaty programu MMC.

Teraz należy ponownie uruchomić kontroler domeny. Po ponownym uruchomieniu kontrolera domeny w systemie Windows protokół LDAPS jest automatycznie używany do komunikacji LDAP; Dalsza konfiguracja nie jest wymagana.

Uruchamianie netstat na dowolnym kontrolerze domeny pokazuje, że proces lsass.exe nasłuchuje na portach TCP 389 i 636, niezależnie od tego, czy powyższa procedura została wykonana, czy nie. Nie można jednak korzystać z protokołu LDAPS do momentu zainstalowania odpowiedniego certyfikatu.

Narzędzie ADSI Edit można wykorzystać do potwierdzenia, że LDAPS jest używany:

1. Uruchom edycję ADSI (adsiedit.msc).
2. W lewym okienku kliknij prawym przyciskiem myszy pozycję Edycja ADSI i wybierz opcję Połącz z... .
3. Wybierz kontekst nazewnictwa z menu rozwijanego.
4. Zaznacz opcję Użyj szyfrowania opartego na protokole SSL.
5. Kliknij przycisk Zaawansowane... .
6. Wprowadź 636 jako numer portu i kliknij przycisk OK.
7. Port 636 powinien pojawić się w polu Ścieżka w górnej części okna. Kliknij przycisk OK , aby nawiązać połączenie.
8. Jeśli połączenie zakończy się pomyślnie, używany jest protokół LDAPS.

PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX5016s, PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360 , PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T40, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640 ... Wyświetl więcej Wyświetl mniej