настроить ldap windows server
Как включить регистрацию LDAP в Windows Server
В этой статье описывается, как включить подписание LDAP в Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows 10.
Применяется к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 — все выпуски
Исходный номер КБ: 935834
Сводка
Вы можете значительно повысить безопасность сервера каталогов, настроив сервер для отказа от привязки LDAP простой проверки подлинности и безопасности (SASL), которые не запрашивают подписи (проверка целостности) или отклонить простые привязки LDAP, выполняемые на понятном текстовом (не-SSL/TLS-зашифрованном) соединении. Привязки SASL могут включать такие протоколы, как Negotiate, Kerberos, NTLM и Digest.
Неподписаный сетевой трафик подвержен атакам повторного воспроизведения. В таких атаках злоумышленник перехватывает попытку проверки подлинности и выдачу билета. Злоумышленник может повторно использовать билет, чтобы выдать себя за законного пользователя. Кроме того, неподписавшийся сетевой трафик подвержен атакам «человек в центре» (MIM), в результате которых злоумышленник захватывает пакеты между клиентом и сервером, изменяет пакеты и затем передает их на сервер. Если это происходит на сервере LDAP, злоумышленник может заставить сервер принимать решения, основанные на поддельных запросах клиента LDAP.
Обнаружение клиентов, которые не используют параметр Обязательное подписание
После изменения конфигурации клиенты, которые полагаются на неподписаемые SASL (Negotiate, Kerberos, NTLM или Digest), привязывает LDAP или просто связывается с подключением, не относящемся к SSL/TLS, перестают работать. Чтобы помочь определить этих клиентов, сервер каталогов служб домена Active Directory (AD DS) или Lightweight Directory Server (LDS) регистрирует сводный ИД события 2887 один раз в 24 часа, чтобы указать, сколько таких связей произошло. Мы рекомендуем настроить этих клиентов, чтобы не использовать такие привязки. После того, как такие события не наблюдаются в течение длительного периода времени, рекомендуется настроить сервер, чтобы отклонить такие привязки.
Если для идентификации таких клиентов необходимо иметь дополнительные сведения, можно настроить сервер каталогов для предоставления более подробных журналов. Этот дополнительный журнал будет входить в журнал Event ID 2889, когда клиент пытается сделать неподписавую привязку LDAP. Запись журнала отображает IP-адрес клиента и удостоверение, которое клиент пытался использовать для проверки подлинности. Этот дополнительный журнал можно включить, установив диагностический параметр 16 событий интерфейса LDAP до 2 (Basic). Дополнительные сведения о том, как изменить параметры диагностики, см. в рубке How to configure Active Directory and LDS diagnostic event logging.
Если сервер каталогов настроен на отказ от неподписаных связей LDAP SASL или простого привязки LDAP по подключению, не подключенным к SSL/TLS, сервер каталога регистрирует сводный ИД события 2888 один раз в 24 часа при таких попытках привязки.
Настройка каталога для необходимости подписания сервера LDAP для AD DS
Сведения о возможных изменениях параметров безопасности см. в статью Клиент, служба ипрограмма при изменении параметров безопасности и назначений прав пользователей.
Аномалия журнала событий 2889
Приложения, которые используют сторонние клиенты LDAP, Windows создавать неправильные записи event ID 2889. Это происходит при журнале событий интерфейса LDAP и при LDAPServerIntegrity равном 2. Использование уплотнения (шифрования) удовлетворяет защиту от MIM атаки, но Windows журналы Event ID 2889.
Это происходит, когда клиенты LDAP используют только герметику вместе с SASL. Мы видели это в поле в связи с сторонними клиентами LDAP.
Если подключение не использует как подписание, так и герметику, проверка требований к безопасности подключения использует флаги правильно и отключается. Проверка создает ошибку 8232 (ERROR_DS_STRONG_AUTH_REQUIRED).
Использование групповой политики
Настройка требования к подписи сервера LDAP
Как установить требование подписи клиента LDAP с помощью локальной компьютерной политики
Как установить требование подписи клиента LDAP с помощью объекта групповой политики домена
Как установить требование подписи клиента LDAP с помощью ключей реестра
Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем приступить к изменениям, создайте резервную копию реестра для восстановления на случай возникновения проблем.
По умолчанию для служб легкого каталога Active Directory (AD LDS) ключ реестра недодоступн. Поэтому необходимо создать запись реестра типа REG_DWORD в следующем подкайке LDAPServerIntegrity реестра:
Местообладатель представляет имя экземпляра AD LDS, который необходимо изменить.
Проверка изменений конфигурации
Во входе на компьютер с установленными средствами администрирования AD DS.
Выберите > запуск, введитеldp.exe, а затем выберите ОК.
Выберите подключение > Подключение.
В Сервере и в порту введите имя сервера и не-SSL/TLS-порт сервера каталогов, а затем выберите ОК.
Для контроллера домена Active Directory применимый порт — 389.
После подключения выберите привязку > подключения.
В типе Bind выберите Простое связывать.
Введите имя пользователя и пароль, а затем выберите ОК.
Если вы получили следующее сообщение об ошибке, вы успешно настроили сервер каталогов:
Ldap_simple_bind_s() не удалось: требуется сильная проверка подлинности
Включить LDAP над SSL с помощью сторонного органа сертификации
В этой статье описывается, как включить протокол легкого доступа к каталогам (LDAP) над защищенным слоем sockets (SSL) с помощью сторонних органов сертификации.
Применяется к: Windows Server 2012 R2
Исходный номер КБ: 321051
Сводка
LDAP используется для чтения и записи в Active Directory. По умолчанию трафик LDAP передается необеспеченным. Вы можете сделать трафик LDAP конфиденциальным и безопасным с помощью технологии SSL/Transport Layer Security (TLS). Вы можете включить LDAP над SSL (LDAPS) путем установки правильно отформатированный сертификат из сертификационного органа Майкрософт (CA) или не-Microsoft CA в соответствии с рекомендациями в этой статье.
Нет пользовательского интерфейса для настройки LDAPS. Установка допустимого сертификата на контроллере домена позволяет службе LDAP прослушивать И автоматически принимать подключения SSL как для LDAP, так и для глобального трафика каталогов.
Требования к сертификату LDAPS
Чтобы включить LDAPS, необходимо установить сертификат, отвечающий следующим требованиям:
Сертификат LDAPS расположен в хранилище персональных сертификатов локального компьютера (программным образом известном как хранилище сертификатов MY компьютера).
Закрытый ключ, который соответствует сертификату, присутствует в магазине локального компьютера и правильно связан с сертификатом. Закрытый ключ не должен иметь сильной защиты частных ключей включен.
Расширение использования ключей включает идентификатор проверки подлинности сервера (1.3.3.6.1.5.5.7.3.1) (также известный как OID).
Полное доменное имя контроллера домена Active Directory (например, dc01.contoso.com) должно отображаться в одном из следующих мест:
Сертификат был выдан ЦС, который доверяет контроллеру домена и клиентам LDAPS. Доверие устанавливается путем настройки клиентов и сервера для доверия корневому ЦС, к которому цепи выпуска ЦС.
Для создания ключа используйте поставщика криптографических служб Schannel (CSP).
Создание запроса сертификата
Любая утилита или приложение, создающая допустимый запрос #10 PKCS, может использоваться для формирования запроса сертификата SSL. Для формирования запроса используйте Certreq.
Чтобы запросить сертификат проверки подлинности сервера, подходящий для LDAPS, выполните следующие действия:
Subject = «CN=»; замените на FQDN dc
KeySpec = 1
KeyLength = 1024
; Может быть 1024, 2048, 4096, 8192 или 16384.
; Более крупные размеры ключей являются более безопасными, но имеют
; более сильное влияние на производительность.
Экспортируемый = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = «Microsoft RSA SChannel Cryptographic Provider»
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0
OID=1.3.6.1.5.5.7.3.1; это для проверки подлинности сервера
Вырезать и ввести пример файла в новый текстовый файл с именем Request.inf. В запросе у вас есть полное DNS-имя контроллера домена.
Некоторые сторонние органы сертификации могут требовать дополнительных сведений в параметре Subject. Такие сведения включают адрес электронной почты (E), организационный блок (OU), организацию (O), локальность или город (L), состояние или провинцию (S) и страну или регион (C). Эту информацию можно в файле Request.inf приметь к имени субъекта (CN). Например:
Создайте файл запроса, создав следующую команду в командной подсказке:
Создается новый файл request.req. Это файл запроса с кодом base64.
Отправка запроса в ЦС. Запрос можно отправить в ЦС Майкрософт или в сторонний ЦС.
Извлеките выданный сертификат и сохраните сертификат Certnew.cer в той же папке, что и файл запроса, следуя следующим шагам:
Сохраненный сертификат должен быть закодирован как base64. Некоторые сторонние ЦС возвращают выданный сертификат запрашиваемой стороне в виде текста с базовым кодом в сообщении электронной почты.
Примите выданный сертификат, выдав следующую команду в командной подсказке:
Убедитесь, что сертификат установлен в личном хранилище компьютера, следуя следующим шагам:
Перезапустите контроллер домена.
Дополнительные сведения о создании запроса сертификата см. в следующем документе о регистрации и управлении расширенными сертификатами. Чтобы просмотреть этот документ, см. в статье Advanced Certificate Enrollment and Management.
Проверка подключения LDAPS
После установки сертификата выполните следующие действия, чтобы убедиться, что LDAPS включен:
Запустите средство администрирования Active Directory (Ldp.exe).
В меню Подключения нажмите кнопку Подключение.
Введите имя контроллера домена, к которому необходимо подключиться.
Введите 636 в качестве номера порта.
Нажмите кнопку ОК.
Сведения RootDSE должны печататься в правой области, что указывает на успешное подключение.
Возможные проблемы
Запуск расширенного запроса TLS
LDAPS-связь происходит через порт TCP 636. Связь LDAPS с глобальным сервером каталогов происходит в TCP 3269. При подключении к портам 636 или 3269 для обмена трафиком LDAP ведется согласование SSL/TLS.
Несколько сертификатов SSL
Поставщик Schannel, поставщик SSL Майкрософт, выбирает первый действительный сертификат, который он находит в локальном хранилище компьютеров. Если в локальном магазине компьютеров имеется несколько действительных сертификатов, Schannel может не выбрать правильный сертификат.
Проблема кэшинга сертификата SSL до SP3
Если существующий сертификат LDAPS заменяется другим сертификатом либо в процессе обновления, либо из-за изменения ЦС выдачи, сервер должен быть перезапущен для Schannel для использования нового сертификата.
Улучшения
AD DS преимущественно ищет сертификаты в этом магазине в магазине локальной машины. Это упрощает настройку AD DS для использования сертификата, который вы хотите использовать. Это потому, что в личном магазине локальных машин может быть несколько сертификатов, и трудно предсказать, какой из них выбран.
AD DS обнаруживает, когда новый сертификат сброшен в хранилище сертификатов, а затем запускает обновление сертификата SSL без перезапуска AD DS или перезапуска контроллера домена.
Новая операция rootDse с именем renewServerCertificate может использоваться для ручного запуска AD DS для обновления SSL-сертификатов без перезапуска AD DS или перезапуска контроллера домена. Этот атрибут можно обновить с помощью adsiedit.msc или импортировать изменение в формате обмена LDAP Directory (LDIF) с помощью ldifde.exe. Дополнительные сведения об использовании LDIF для обновления этого атрибута см. в сайте renewServerCertificate.
Наконец, если Windows Server 2008 или контроллер домена более поздней версии находит несколько сертификатов в своем магазине, он автоматически выбирает сертификат, срок действия которого будет самым дальним в будущем. Затем, если текущий сертификат приближается к дате истечения срока действия, вы можете отказаться от сертификата замены в магазине, и AD DS автоматически переключается на его использование.
Все это работает для Windows 2008 AD DS и для служб легкого каталога Active Directory 2008 (AD LDS). Для AD LDS поместите сертификаты в хранилище персональных сертификатов для службы, соответствующей экземпляру AD LDS, а не службе NTDS.
Пошаговое руководство по установке LDAPS на Windows Server
Руководство разделено на 3 раздела:
ПРИМЕЧАНИЕ. Следующие шаги аналогичны для Windows Server 2008, 2012, 2012 R2, 2016. В этой статье мы будем использовать Windows Server 2012 R2.
Создайте виртуальную машину Windows Server в Azure
Создайте виртуальную машину с именем «ldapstest» Windows Server 2012 R2 Datacenter Standard DS12, следуя инструкциям здесь: Создание виртуальной машины Windows с порталом Azure
Подключитесь к ldapstest виртуальной машины с помощью подключения к удаленному рабочему столу.
Настройка LDAP с использованием AD LDS
Выберите установку на основе ролей или функций. Нажмите «Далее.
Выберите сервер ldapstest из пула серверов. Нажмите «Далее.
Отметьте службы Active Directory облегченного доступа к каталогам из списка ролей и нажмите Далее.
В списке функций ничего не выбирайте — просто нажмите Далее.
Нажмите «Установить», чтобы начать установку.
После завершения установки нажмите «Закрыть».
Теперь мы успешно настроили роль AD LDS. Давайте создадим новый экземпляр AD LDS «CONTOSO» с помощью мастера. Щелкните «Запустить мастер установки служб Active Directory облегченного доступа к каталогам» на приведенном выше экране. Затем нажмите «Закрыть».
Выберите уникальный экземпляр, так как мы настраиваем его впервые.
Введите «CONTOSO» в поле «Имя экземпляра» и нажмите «Далее».
По умолчанию порт LDAP — 389, порт LDAPS 636, выберем значения по умолчанию — жмем Далее.
Создайте новый раздел каталога приложений с именем «CN = MRS, DC = CONTOSO, DC = COM». Нажмите «Далее.
Использование значений по умолчанию для места хранения файлов ADLDS — нажмите «Далее».
Выбор учетной записи сетевой службы для запуска службы AD LDS.
Вы получите быстрое предупреждение о репликации данных. Поскольку мы используем один сервер LDAP, мы можем нажать Да.
Выбор текущего вошедшего в систему пользователя в качестве администратора для экземпляра AD LDS. Нажмите «Далее.
Отметьте все необходимые файлы LDIF для импорта (здесь мы отмечаем все файлы). Нажмите «Далее.
Убедитесь, что все выбраны правильно, а затем нажмите Далее, чтобы подтвердить установку..
После успешной настройки экземпляра нажмите Готово.
Если соединение установлено успешно, мы сможем просматривать каталог CN = MRS, DC = CONTOSO, DC = COM:
Настройка LDAPS (LDAP через SSL)
Сертификат, который будет использоваться для LDAPS, должен удовлетворять следующим трем требованиям:
• Сертификат должен быть действительным для целей аутентификации сервера. Это означает, что он также должен содержать идентификатор объекта аутентификации сервера (OID): 1.3.6.1.5.5.7.3.1
• Имя субъекта или имя в альтернативном имени субъекта (SAN) должно соответствовать полному Полное доменное имя (FQDN) хост-компьютера, например Subject: CN = contosoldaps. Для получения дополнительной информации см. Как добавить альтернативное имя субъекта к защищенному сертификату LDAP.
• Учетная запись хост-компьютера должна иметь доступ к закрытому ключу.
Теперь давайте воспользуемся службами сертификации Active Directory, чтобы создать сертификат, который будет использоваться для LDAPS. Если у вас уже есть сертификат, отвечающий вышеуказанным требованиям, вы можете пропустить этот шаг.
Выберите установку на основе ролей или функций. Нажмите «Далее.
Выберите сервер ldapstest из пула серверов. Нажмите «Далее.
Выберите «Службы сертификации Active Directory» из списка ролей и нажмите «Далее».
Ничего не выбирайте из списка функций и нажмите Далее.
Отметьте «Центр сертификации» в списке ролей и нажмите «Далее».
Нажмите «Установить», чтобы подтвердить установку.
После завершения установки нажмите «Закрыть».
Теперь давайте создадим сертификат с помощью мастера настройки AD CS. Чтобы открыть мастер, нажмите «Настроить службы сертификации Active Directory на конечном сервере» на экране выше. Затем нажмите «Закрыть». Мы можем использовать пользователя azureuser, вошедшего в систему, для настройки служб ролей, поскольку он принадлежит к локальной группе администраторов. Нажмите «Далее.
Выберите центр сертификации из списка ролей. Нажмите «Далее.
Поскольку это локальная установка без домена, мы собираемся выбрать автономный центр сертификации. Нажмите «Далее.
Выбрав корневой ЦС в качестве типа ЦС, нажмите Далее.
Поскольку у нас нет закрытого ключа, давайте создадим новый. Нажмите «Далее.
Выбор SHA1 в качестве алгоритма хеширования. Нажмите «Далее.
ОБНОВЛЕНИЕ: рекомендуется выбрать самый последний алгоритм хеширования с момента обратного отсчета устаревания SHA-1
Имя CA должен соответствовать имени хоста (требование номер 2). Введите «LDAPSTEST» и нажмите «Далее».
Указание срока действия сертификата. Выбираем по умолчанию 5 лет. Нажмите «Далее.
Выбрав расположение базы данных по умолчанию, нажмите «Далее».
Нажмите «Настроить» для подтверждения.
После успешной/полной настройки. Щелкните Close.
Теперь давайте просмотрим сгенерированный сертификат.
Нажмите «Пуск», выберите «Поиск» «Управление сертификатами компьютеров» и откройте его.
Щелкните «Личные сертификаты» и убедитесь, что сертификат «LDAPSTEST» присутствует:
Закрытый ключ будет находиться в следующем месте C: ProgramData Microsoft Crypto Keys
Щелкните правой кнопкой мыши C: ProgramData Microsoft Crypto Keys 874cb49a696726e9f435c1888b69f317_d3e61130-4cd8-4288-a344-778464647ff8c и нажмите Свойства> добавить разрешения на чтение для NETWORK SERVICE.
Откроется мастер экспорта сертификатов. Нажмите «Далее.
Не экспортировать закрытый ключ. Нажмите «Далее.
Нажмите Готово, чтобы завершить экспорт сертификата.
Сертификат теперь успешно экспортирован в «C: Users azureuser Desktop ldapstest.cer».
Теперь мы должны импортировать его в JRE Keystore, используя команду keytool, находящуюся в этом месте:
C: Program Files Java jre1.8.0_92 bin keytool.exe.
После успешного добавления сертификата в хранилище ключей JRE мы можем подключиться к серверу LDAP через SSL.
Теперь давайте попробуем подключиться к серверу LDAP (с SSL и без него) с помощью инструмента ldp.exe.
Строки подключения для
LDAP: \ ldapstest: 389
LDAPS: \ ldapstest: 636
Если соединение установлено успешно, вы увидите следующее сообщение в инструменте ldp.exe:
Чтобы подключиться к LDAPS (LDAP через SSL), используйте порт 636 и отметьте SSL. Нажмите ОК, чтобы подключиться.
Если соединение установлено, вы увидите следующее сообщение в инструменте ldp.exe:
ССЫЛКИ
https://technet.microsoft.com/en-us/library/cc770639(v=ws.10)
https://technet.microsoft.com/en-us/library/cc725767(v=ws.10).aspx
http://social.technet.microsoft.com/wiki/contents/articles/2980.ldap- over-ssl-ldaps-certificate ….
https://blogs.technet.microsoft.com/askds/2008/03/13/troubleshooting-ldap-over-ssl/
http ://javarevisited.blogspot.com/2011/11/ldap-authentication-active-directory.html
Отличное руководство! Спасибо!
Я не понимаю, почему он импортирует сертификат в java truststore. Инструмент ldp.exe использует java?
@zhongyi_yang Я тоже хотел бы знать об этом.
Доверенное хранилище java немного странно, если учесть Java. Есть ли другой способ импортировать это?
Как я могу найти сервер LDAP в DNS в Windows?
Для Linux эта команда должна возвращать запись DNS для сервера LDAP
(найдено в разделе «Аутентификация с Java (Linux) в Active Directory с использованием LDAP БЕЗ имени сервера»)
Как я могу получить то же самое в командной строке Windows с помощью nslookup?
Руководство по настройке защищенного протокола LDAP для управляемого домена доменных служб Azure AD
Для взаимодействия с управляемым доменом доменных служб (DS) Azure AD используется протокол LDAP. По умолчанию трафик LDAP не шифруется, что создает проблему безопасности во многих средах.
С помощью доменных служб Azure AD вы можете настроить для управляемого домена протокол LDAPS. При использовании защищенного протокола LDAP трафик шифруется. Защищенный протокол LDAP также называется «LDAP через SSL или TLS».
В этом учебнике показано, как настроить протокол LDAPS для управляемого домена Azure AD DS.
В этом руководстве описано следующее:
Если у вас еще нет подписки Azure, создайте учетную запись Azure, прежде чем начинать работу.
Предварительные требования
Для работы с этим учебником требуются следующие ресурсы и разрешения:
Вход на портал Azure
В этом руководстве объясняется, как настроить защищенный протокол LDAP для управляемого домена с помощью портала Azure. Чтобы начать работу, войдите на портал Azure.
Создание сертификата для защищенного протокола LDAP
Чтобы использовать защищенный протокол LDAP, нужен цифровой сертификат для шифрования при обмене данными. Этот цифровой сертификат применяется к управляемому домену и позволяет таким средствам, как LDP.exe, использовать безопасное зашифрованное соединение при отправке запросов к данным. У вас есть два способа создать сертификат для доступа управляемому домену через защищенный протокол LDAP.
Создаваемый или запрашиваемый сертификат должен отвечать приведенным ниже требованиям. Управляемый домен будет работать неправильно, если вы укажете недопустимый сертификат при включении защищенного протокола LDAP.
Существует несколько средств для создания самозаверяющего сертификата, например OpenSSL, Keytool, MakeCert, командлет New-SelfSignedCertificate и т. д.
Для целей этого руководства мы создадим самозаверяющий сертификат для защищенного протокола LDAP, используя командлет New-SelfSignedCertificate.
Откройте окно PowerShell с правами администратора и выполните приведенные ниже команды. Замените переменную $dnsName DNS-именем, которое используется для управляемого домена, например aaddscontoso.com:
В этом примере выходных данных сообщается, что сертификат успешно создан и сохранен в локальном хранилище сертификатов (LocalMachine\MY):
Выбор и экспорт нужных сертификатов
Для защищенного протокола LDAP сетевой трафик шифруется с использованием инфраструктуры открытых ключей (PKI).
Эта пара закрытого и открытого ключей гарантирует, что взаимодействие будет возможно только между теми компьютерами, для которых вы его настроите. Если вы используете общедоступный ЦС или ЦС предприятия, вам будет выдан сертификат с закрытым ключом, который можно применить к управляемому домену. Открытый ключ должен быть известен клиентским компьютерам и настроен на них как доверенный.
В рамках этого руководства вы уже создали самозаверяющий сертификат с закрытым ключом, и теперь примените его закрытый и общедоступный компоненты.
Экспорт сертификата для Azure AD DS
Прежде чем применять для управляемого домена цифровой сертификат, созданный на предыдущем шаге, экспортируйте PFX-файл сертификата, который содержит закрытый ключ.
Откройте диалоговое окно Выполнить, нажав клавиши Windows + R.
Откройте консоль управления (MMC), введя команду mmc в диалоговом окне Выполнить, а затем щелкните ОК.
В окне Контроль учетных записей пользователей щелкните Да, чтобы запустить MMC от имени администратора.
В мастере Оснастка диспетчера сертификатов выберите Учетная запись компьютера и щелкните Далее.
На странице Выбор компьютера выберите Локальный компьютер (на котором выполняется консоль) и щелкните Готово.
В диалоговом окне Добавление и удаление оснасток нажмите кнопку ОК, чтобы добавить оснастку «Сертификаты» в MMC.
Здесь вы увидите самозаверяющий сертификат, созданный на предыдущем шаге, например aaddscontoso.com. Щелкните этот сертификат правой кнопкой мыши и выберите Все задачи > Экспорт.
В мастере экспорта сертификатов щелкните Далее.
Необходимо экспортировать закрытый ключ для сертификата. Включение защищенного протокола LDAP для управляемого домена завершится ошибкой, если экспортируемый сертификат не содержит закрытого ключа.
На странице Экспорт закрытого ключа выберите Да, экспортировать закрытый ключ и щелкните Далее.
Управляемые домены поддерживают для файла сертификата только формат PFX, который содержит закрытый ключ. Не экспортируйте сертификат в формате CER-файла, который не содержит закрытого ключа.
Так как этот сертификат используется для шифровки данных, необходимо тщательно контролировать доступ к нему. Для защиты закрытого ключа сертификата можно использовать пароль. Без правильного пароля сертификат не удастся применить к службе.
На странице Безопасность выберите вариант Пароль для защиты PFX-файла сертификата. Для шифрования необходимо использовать алгоритм TripleDES-SHA1. Введите и подтвердите пароль, а затем щелкните Далее. Этот пароль вы примените при работе со следующим разделом, чтобы включить защищенный протокол LDAP для управляемого домена.
При экспорте с помощью командлета PowerShell Export-PfxCertificate необходимо передать флаг -CryptoAlgorithmOption с TripleDES_SHA1.
На странице Файл для экспорта укажите имя и расположение файла, в который вы будете экспортировать сертификат, например C:\Users\accountname\azure-ad-ds.pfx. Запомните пароль и расположение PFX-файла, так как эти сведения потребуются при дальнейшей работе.
На следующей странице щелкните Готово, чтобы экспортировать сертификат в PFX-файл. После успешного экспорта сертификата появится диалоговое окно с подтверждением.
Не закрывайте окно MMC, которое пригодится нам в следующем разделе.
Экспорт сертификата для клиентских компьютеров
На клиентских компьютерах необходимо настроить доверие к издателю сертификата для защищенного протокола LDAP, чтобы подключаться к управляемому домену по протоколу LDAPS. Клиентским компьютерам требуется сертификат для успешного шифрования данных, которые будут расшифровываться в Azure AD DS. Если вы используете общедоступный ЦС, компьютер будет автоматически доверять издателям сертификатов и иметь соответствующий сертификат.
В рамках этого руководства вы используете самозаверяющий сертификат, который создали вместе с закрытым ключом на предыдущем шаге. Теперь нам нужно экспортировать самозаверяющий сертификат и установить его в хранилище доверенных сертификатов на клиентском компьютере.
Вернитесь в консоль MMC и откройте хранилище Сертификаты (локальный компьютер) > Личные > Сертификаты. Здесь вы увидите самозаверяющий сертификат, созданный на предыдущем шаге, например aaddscontoso.com. Щелкните этот сертификат правой кнопкой мыши и выберите Все задачи > Экспорт.
В мастере экспорта сертификатов щелкните Далее.
Поскольку для клиентов закрытый ключ не требуется, на странице Экспорт закрытого ключа выберите Нет, не экспортировать закрытый ключ и щелкните Далее.
На странице Формат экспортируемого файла для экспортируемого сертификата выберите Файлы X.509 (.CER) в кодировке Base-64.
На странице Файл для экспорта укажите имя и расположение файла, в который вы будете экспортировать сертификат, например C:\Users\accountname\azure-ad-ds-client.cer.
На следующей странице щелкните Готово, чтобы экспортировать сертификат в CER-файл. После успешного экспорта сертификата появится диалоговое окно с подтверждением.
Теперь сертификат в формате CER-файла можно распространять на клиентские компьютеры, которые должны доверять защищенному подключению LDAP к управляемому домену. Давайте установим сертификат на локальном компьютере.
Откройте проводник и перейдите к расположению, в котором вы сохранили файла сертификата в формате CER, например C:\Users\accountname\azure-ad-ds-client.cer.
Щелкните CER-файл сертификата правой кнопкой мыши, а затем выберите Установить сертификат.
В мастере импорта сертификатов выберите вариант для сохранения сертификата на локальном компьютере, а затем щелкните Далее.
При появлении запроса выберите Да, чтобы разрешить компьютеру вносить изменения.
Выберите Автоматически выбрать хранилище на основе типа сертификата, а затем щелкните Далее.
На следующей странице щелкните Готово, чтобы импортировать CER-файл сертификата. После успешного импорта сертификата появится диалоговое окно с подтверждением.
Включение защищенного протокола LDAP для доменных служб Azure AD DS.
Итак, вы завершили создание и экспорт цифрового сертификата, который содержит закрытый ключ, и настроили доверие к подключению на клиентском компьютере. Теперь можно включить защищенный протокол LDAP в управляемом домене. Чтобы включить защищенный протокол LDAP для управляемого домена, сделайте следующее.
На портале Azure введите доменные службы в поле Поиск ресурсов. В списке результатов выберите Доменные службы Azure AD.
Выберите нужный управляемый домен, например aaddscontoso.com
В левой части окна Azure AD DS выберите Защищенный протокол LDAP.
По умолчанию защищенный доступ LDAP к управляемому домену отключен. Измените значение параметра Защищенный протокол LDAP на Включено.
По умолчанию доступ к управляемому домену через Интернет по защищенному протоколу LDAP отключен. Включая доступ по защищенному протоколу LDAP через Интернет, вы сделаете домен уязвимым к атакам из Интернета методом подбора пароля. На следующем шаге мы настроим группу безопасности сети, чтобы ограничить доступ только из определенного диапазона IP-адресов.
Переведите переключатель Разрешить доступ по защищенному протоколу LDAP через Интернет в положение Включено.
Щелкните значок папки рядом с полем PFX-файл с сертификатом защищенного протокола LDAP. Перейдите в папку, где расположен PFX-файл, а затем выберите созданный на предыдущем шаге сертификат, который содержит закрытый ключ.
Как отмечалось в предыдущем разделе о требованиях к сертификатам, вы не можете использовать сертификат общедоступного ЦС с доменом .onmicrosoft.com, который настроен по умолчанию. Домен .onmicrosoft.com принадлежит корпорации Майкрософт, поэтому общедоступный ЦС не будет выдавать для него сертификаты.
Убедитесь, что сертификат имеет правильный формат. В противном случае платформа Azure выдаст ошибку проверки сертификата при включении защищенного протокола LDAP.
Введите пароль для расшифровки PFX-файла, который вы настроили на предыдущем шаге при экспорте сертификата в PFX-файл.
Щелкните Сохранить, чтобы включить защищенный протокол LDAP.
Появится уведомление о том, что выполняется настройка защищенного протокола LDAP для управляемого домена. Вы не сможете изменить другие параметры управляемого домена, пока не завершится эта операция.
Включение защищенного протокола LDAP для управляемого домена займет несколько минут. Если предоставленный сертификат защищенного протокола LDAP не соответствует требуемому критерию, действие по включению защищенного протокола LDAP для управляемого домена завершается сбоем.
Типичные примеры ошибок: указано неправильное доменное имя, для шифрования сертификата используется алгоритм, отличный от TripleDES-SHA1, срок действия сертификата истек или истекает в ближайшее время. Вы можете повторно создать сертификат с правильными параметрами и включить защищенный протокол LDAP с указанием обновленного сертификата.
Замена сертификата с истекающим сроком действия
Блокировка доступа по защищенному протокол LDAP через Интернет
Предоставление доступа к управляемому домену по защищенному протоколу LDAP через Интернет создает угрозу безопасности. Управляемый домен доступен из Интернета через порт 636. Мы рекомендуем ограничить доступ к управляемому домену только из определенных IP-адресов, имеющих отношение к конкретной среде. Для ограничения доступа по защищенному протоколу LDAP можно использовать правило группы безопасности сети Azure.
Давайте создадим правило, которое разрешит входящий доступ по защищенному протоколу LDAP через TCP-порт 636 только для указанного набора IP-адресов. Правило DenyAll с низким приоритетом по умолчанию применяется ко всему остальному входящему трафику из Интернета, а значит доступ к управляемому домену по защищенному протоколу LDAP можно будет получить только с указанных адресов.
На портале Azure выберите Группы ресурсов в панели навигации слева.
Выберите группу ресурсов, например myResourceGroup, а затем выберите группу безопасности сети, например aaads-nsg.
Отобразится список существующих правил безопасности для входящих и исходящих подключений. В левой части окна свойств для группы безопасности сети выберите Параметры > Правила безопасности для входящего трафика.
Щелкните Добавить и создайте правило, открывающее TCP-порт 636. Для повышения безопасности выберите IP-адреса в качестве источника и укажите допустимый IP-адрес или диапазон адресов, принадлежащих вашей организации.
| Параметр | Значение |
|---|---|
| Источник | IP-адреса |
| IP-адреса источника или диапазоны в нотации CIDR | Допустимый IP-адрес или диапазон для вашей среды |
| Диапазоны исходных портов | * |
| Назначение | Любой |
| Диапазоны портов назначения | 636 |
| Протокол | TCP |
| Действие | Allow |
| Приоритет | 401 |
| Имя | AllowLDAPS |
Когда все будет готово, щелкните Добавить, чтобы сохранить и применить это правило.
Настройка зоны DNS для внешнего доступа
Разрешив доступ через Интернет по защищенному протоколу LDAP, измените параметры зоны DNS, чтобы клиентские компьютеры могли найти этот управляемый домен. Внешний IP-адрес защищенного протокола LDAP указан на вкладке Свойства для управляемого домена.
В настройках внешнего поставщика DNS создайте запись, разрешающую имя узла (например, ldaps), в этот внешний IP-адрес. Чтобы проверить работу на локальном компьютере, вы можете сначала создать такую запись в файле hosts системы Windows. Чтобы изменить файл hosts на локальном компьютере, откройте Блокнот от имени администратора и откройте файл C:\Windows\System32\drivers\etc\hosts.
В следующем примере представлена DNS-запись, созданная во внешнем поставщике DNS или в локальном файле hosts, которая направляет трафик для ldaps.aaddscontoso.com к внешнему IP-адресу 168.62.205.103:
Проверка запросов к управляемому домену
Чтобы подключиться к управляемому домену, создать привязку к нему и выполнить поиск по протоколу LDAP, используйте средство LDP.exe. Оно входит в пакет средств удаленного администрирования сервера (RSAT). Дополнительные сведения см. в статье об установке средств удаленного администрирования сервера.
Затем выполните привязку к управляемому домену. Пользователи (и учетные записи служб) не могут выполнять простые привязки LDAP, если вы отключили синхронизацию хэшей паролей NTLM для управляемого домена. См. сведения об отключении синхронизации хэшей паролей NTLM в статье Отключение слабых шифров и синхронизации хэшей паролей для защиты управляемого домена доменных служб Azure AD.
Чтобы просмотреть объекты, сохраненные в управляемом домене, сделайте следующее:
Выберите пункт меню Представление и щелкните Дерево.
Оставьте поле BaseDN пустым и щелкните OК.
Выберите контейнер, например Пользователи AADDC, щелкните его правой кнопкой мыши и выберите пункт Поиск.
Сохраните все автоматически заполненные значения и щелкните Запуск. Результаты запроса отображаются в окне справа, как показано в следующем примере выходных данных:
Чтобы выполнить прямой запрос к конкретному контейнеру, выберите пункт меню Представление > Дерево, затем укажите значение BaseDN, например OU=AADDC Users,DC=AADDSCONTOSO,DC=COM или OU=AADDC Computers,DC=AADDSCONTOSO,DC=COM. Дополнительные сведения о форматировании и создании запросов см. в статье с основными сведениями о запросах LDAP.
Если используется самозаверяющий сертификат, добавленный в Доверенные корневые центры сертификации для LDAPS, убедитесь, что он работает с LDP.exe.
Очистка ресурсов
Если ранее в рамках этого руководства вы добавляли запись DNS в файл hosts на локальном компьютере для проверки подключения, удалите эту запись и добавьте запись в основную зону DNS. Чтобы удалить запись из локального файла hosts, сделайте следующее:
Устранение неполадок
Если произойдет ошибка и отобразится сообщение о том, что LDAP.exe не удалось подключиться, попробуйте решить эту проблему, проверив различные элементы подключения:
Чтобы сопоставить имя субъекта сертификата, контроллер домена будет использовать доменное имя Azure ADDS (не доменное имя Azure AD) для поиска сертификата в хранилище сертификатов. Например, из-за опечаток контроллер домена не сможет выбрать правильный сертификат.
Клиент попытается установить TLS-подключение, используя указанное вами имя. При том трафик должен проходить весь путь. Контроллер домена отправляет открытый ключ для сертификата аутентификации сервера. Нужно правильно настроить использование сертификата. Имя, зарегистрированное как имя субъекта, должно быть совместимым, чтобы клиент доверял тому, что сервер соответствует DNS-имени, к которому вы подключаетесь (то есть можно указать подстановочный знак без опечаток), и клиент должен доверять издателю. Вы можете проверить наличие проблем в этой цепочке в системном журнале в компоненте «Просмотр событий» и отфильтровать события, где указан источник SChannel. Вместе все эти компоненты образуют сеансовый ключ.
Дополнительные сведения см. в статье Подтверждение протокола TLS.
Дальнейшие действия
В этом руководстве вы узнали, как выполнять следующие задачи: