PowerEdge : Configuration de LDAPS pour l’intégration d’Active Directory

Lors de la configuration d’un produit Dell tel qu’OpenManage Enterprise ou d’un iDRAC pour l’intégration à Microsoft Active Directory, la connexion au contrôleur de domaine sur LDAPS peut échouer, même si les paramètres de l’annuaire semblent corrects et que le port 636 est accessible. Ce problème peut se produire si aucun certificat valide n’est installé sur le contrôleur de domaine cible.

Par défaut, Active Directory Domain Services établissent une liaison au port 389 pour les demandes LDAP non sécurisées et au port 636 pour les requêtes LDAP sur SSL (LDAPS). Toutefois, même si le port 636 est ouvert dans le pare-feu Windows et qu’il accepte les connexions TCP, toutes les demandes d’annuaire effectuées sur le port 636 sont rejetées si le contrôleur de domaine ne dispose pas d’un certificat de confiance pour établir une liaison au service lors du démarrage.

Vous pouvez tester la connectivité LDAPS à l’aide de l’outil LDP, qui est installé sur le contrôleur de domaine par défaut dans le cadre des fonctionnalités de gestion Active Directory.

1. Exécutez la commande suivante dans une invite de commandes d’administration sur le contrôleur de domaine.

ldp.exe

2. Cliquez sur Connection > Connect.
3. Saisissez le nom de domaine complet du contrôleur de domaine et connectez-vous sur le port 636 via SSL.

4. Vérifiez la sortie. Si la connexion échoue avec le message « Error <0x51> Fail to connect », le contrôleur de domaine ne dispose pas de certificat LDAPS et les produits Dell ne peuvent pas utiliser l’intégration Active Directory avec ce contrôleur de domaine tant qu’un certificat n’est pas installé.

Pour résoudre ce problème, il est nécessaire d’installer un certificat valide sur tous les contrôleurs de domaine que le système utilise pour l’intégration AD. Microsoft dispose d’un article documentant les exigences relatives aux certificats LDAPS et le processus de demande d’un certificat auprès d’un serveur d’autorité de certification : https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/enable-ldap-over-ssl-3rd-certification-authority

Alternativement, étant donné que le certificat ne doit être approuvé que par le contrôleur de domaine lui-même, les clients sans serveur d’autorité de certification peuvent activer LDAPS en créant un certificat auto-signé sur le DC en suivant les étapes énumérées ci-dessous.

1. Ouvrez une fenêtre d’administration PowerShell sur le contrôleur de domaine.
2. Exécutez la commande suivante pour créer le certificat :

New-SelfSignedCertificate -DnsName dc1.domain.local, dc1 -CertStoreLocation cert:\LocalMachine\My

(replacing "dc1.domain.local" and "dc1" with the FQDN and name of your domain controller)

3. Exécutez la commande suivante pour ouvrir le composant logiciel enfichable de gestion des certificats pour la machine locale.

certlm.msc

4. Accédez à Personal > Certificates, recherchez le certificat qui vient d’être créé et copiez-le dans Trusted Root Certification Authorities > Certificates.
5. Attendez que LDAPS établisse une liaison au port 636 à l’aide du nouveau certificat. Cette opération se fait automatiquement et prend moins d’une minute.
6. Utilisez la commande suivante pour vérifier la connexion au contrôleur de domaine via SSL sur le port 636.

ldp.exe

Une fois que le certificat valide est installé sur le contrôleur de domaine et que le test de ldp.exe parvient à se connecter, le test d’intégration du service d’annuaire sur l’iDRAC/OME peut communiquer avec le contrôleur de domaine.

PowerEdge R240, PowerEdge R250, PowerEdge R340, PowerEdge R350, PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R740 , PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R840, PowerEdge R940, PowerEdge R940xa, PowerEdge T140, PowerEdge T150, PowerEdge T340, PowerEdge T350, PowerEdge T440, PowerEdge T550, PowerEdge T640 ... 扩大查看范围 缩小查看范围