La respuesta general

tag-icon tag-icon windows active-directory windows-server-2012-r2 ad-certificate-services
La respuesta general

leyendo este artículo:https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc

El primer método es el más sencillo: LDAPS se habilita automáticamente cuando instala una CA raíz empresarial en un controlador de dominio. Si instala la función AD-CS y especifica el tipo de configuración como "Enterprise" en un DC, todos los DC en el bosque se configurarán automáticamente para aceptar LDAPS.

¿Es eso cierto? Si instalo servicios de certificados en un solo DC, ¿todos los DC del dominio aceptan LDAPS? ¿Se inscriben todos automáticamente para obtener certificados o todas las solicitudes LDAPS se dirigen al DC con la CA raíz instalada? ¿Qué sucede si desinstalo el root ca del DC?

Tengo que habilitar ldaps, si solo instalo una CA raíz en un DC, ¿he terminado?

Entiendo las implicaciones de seguridad, pero para mi pequeño entorno este sería el camino preferible.

Respuesta1

La respuesta general

En términos generales, sí, salvo cualquier configuración relacionada con la red, como el acceso al firewall para el protocolo LDAPS (:636) frente al protocolo LDAP (:389).

En una instalación estándar de Autoridad de certificación integrada de Active Directory, sus controladores de dominio recibirán un certificado basado en la plantilla de certificado del controlador de dominio que incluye el OID de autenticación del servidor como propósito previsto. Cualquier certificado válido que contenga este OID será automáticamente recogido y vinculado a LDAPS (:636) por el servicio Schannel.

Eliminar este certificado, o carecer de un certificado de autenticación de servidor adecuado, hará que los eventos de advertencia se registren en el registro de seguridad del Visor de eventos cada segundo en la fuente Schannel.

Soporte de nombre alternativo del sujeto

Una advertencia común es la necesidad de compatibilidad adecuada con el nombre alternativo del sujeto para los certificados LDAPS. La plantilla de certificado de controlador de dominio predeterminada no incluye nombres de certificados SAN. Si usted tienedominio.comcon controladores de dominio llamadosdc1.dominio.comydc2.dominio.com, luego LDAPS (:636) llama adominio.comse devolverá utilizando el certificado del controlador de dominio que responde (dc1.dominio.comodc2.dominio.com). Muchas aplicaciones y protocolos tratarán esto como una amenaza a la seguridad y generarán errores.

Habilitación del soporte SAN para LDAPS

  1. Revocar y eliminar el certificado de controlador de dominio emitido estándar en los controladores de dominio.
  2. Garantizar que la seguridad de la plantilla del controlador de dominio esté marcada para permitir el permiso de lectura, pero eliminar los permisos de inscripción y/o inscripción automática para controladores de dominio, controladores de dominio empresariales y controladores de dominio de solo lectura.
  3. Duplique la plantilla de autenticación Kerberos, que contiene el OID de autenticación del servidor, entre otros.
    • Asegúrese de que esta plantilla permita exportar la clave y que el nombre del sujeto no se cree a partir de Active Directory, sino que esté marcado para ser proporcionado dentro de la solicitud.
    • Asegúrese de que la seguridad de la plantilla de certificado permita que los controladores de dominio, los controladores de dominio empresariales y los controladores de dominio de solo lectura lean e inscriban.
  4. Publique su plantilla de certificado recién creada.
  5. Inicie sesión en cada controlador de dominio, solicite un nuevo certificado de su plantilla y establezca lo siguiente como información de nombre (el ejemplo es paradc1.dominio.com):
    • Nombre común:dc1.dominio.com
    • SAN:dc1.dominio.com,dc1,dominio.com, ydominio.
  6. Reinicie cada controlador de dominio (no siempre es necesario, pero por si acaso) y verifique que el canal de seguridad del Visor de eventos ya no muestre advertencias sobre no encontrar un certificado adecuado.

Información de bonificación

¿Cómo puedo verificar rápidamente la conectividad LDAPS internamente?

  1. Inicie sesión en un controlador de dominio.
  2. Inicie LDP.exe.
  3. Abra una nueva conexión a un nombre de controlador de dominio, dirección IP o el nombre de dominio mismo.
    • Puerto: 636
    • SSL: comprobar
  4. Los resultados le permitirán saber si se ha conectado y en qué contexto del controlador de dominio.

¿Cómo puedo ver rápidamente mi certificado Schannel/LDAPS actual?

  1. Descargue y/o obtenga acceso a OpenSSL.
  2. openssl.exe -s_client domain.com:636
  3. Si la conexión se abrió correctamente, la parte inicial del registro mostrará los detalles de la conexión.
  4. Copie toda la sección -----BEGIN CERTIFICATE...pasante ...END CERTIFICATE-----.
  5. Pega esto en el Bloc de notas y guárdalo comocertificado.cer.
  6. Abiertocertificado.cerpara ver el certificado que presenta Schannel/LDAPS.

Si uso LDAPS (:636), ¿puedo bloquear todo el tráfico LDAP (:389)?

Si y no. Sí; puede bloquear LDAP (:389) en todo el tráfico Norte-Sur (entre interno y externo). No; no puede bloquear LDAP (:389) en el tráfico Este-Oeste (entre interno e interno). LDAP (:389) es crucial para ciertas funciones de replicación en Active Directory. Estas actividades están protegidas utilizando Kerberos Signed and Sealed.

Disculpas por la falta de pasos precisos o capturas de pantalla. No estoy en un entorno desde el cual suministrarlos en este momento.

información relacionada