A resposta geral

tag-icon tag-icon windows active-directory windows-server-2012-r2 ad-certificate-services
A resposta geral

lendo este artigo:https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc

O primeiro método é o mais fácil: o LDAPS é ativado automaticamente quando você instala uma CA raiz corporativa em um controlador de domínio. Se você instalar a função AD-CS e especificar o tipo de configuração como “Empresa” em um controlador de domínio, todos os controladores de domínio na floresta serão automaticamente configurados para aceitar LDAPS.

Isso é verdade? Se eu instalar serviços de certificado em um único controlador de domínio, todos os controladores de domínio do domínio aceitarão LDAPS? Todos eles se inscrevem automaticamente para obter certificados ou todas as solicitações LDAPS são direcionadas de volta ao controlador de domínio com a CA raiz instalada? O que acontece se eu desinstalar o root ca do DC?

Eu tenho que habilitar o ldaps, se eu apenas instalar uma CA raiz em um DC, terminei?

Entendo as implicações de segurança, mas para meu pequeno ambiente esse seria o caminho preferível.

Responder1

A resposta geral

De modo geral, sim, exceto quaisquer configurações relacionadas à rede, como acesso de firewall para o protocolo LDAPS (:636) versus o protocolo LDAP (:389).

Em uma instalação padrão da Autoridade de Certificação integrada ao Active Directory, seus controladores de domínio receberão um certificado baseado no modelo de certificado do Controlador de Domínio que inclui o OID de Autenticação do Servidor como Finalidade Pretendida. Qualquer certificado válido contendo este OID será automaticamente coletado e vinculado ao LDAPS (:636) pelo serviço Schannel.

A remoção deste certificado, ou a falta de um certificado de autenticação de servidor adequado, fará com que eventos de aviso sejam registrados no log de segurança do Visualizador de eventos a cada segundo na origem do Schannel.

Suporte para nome alternativo de assunto

Uma ressalva comum é a necessidade de suporte adequado ao Nome Alternativo do Assunto para certificados LDAPS. O modelo de certificado padrão do Controlador de Domínio não inclui nomes SAN de certificados. Se você temdomínio.comcom controladores de domínio nomeadosdc1.domínio.comedc2.domínio.com, então LDAPS (:636) chama paradomínio.comserá retornado usando o certificado do controlador de domínio respondente (dc1.domínio.comoudc2.domínio.com). Muitos aplicativos e protocolos tratarão isso como uma ameaça à segurança e gerarão erros.

Habilitando suporte SAN para LDAPS

  1. Revogação e remoção do certificado de controlador de domínio emitido padrão nos controladores de domínio.
  2. Garantir que a segurança do modelo de controlador de domínio esteja marcada para permitir a permissão de leitura, mas remova as permissões de registro e/ou registro automático para controladores de domínio, controladores de domínio corporativos e controladores de domínio somente leitura.
  3. Duplique o modelo de autenticação Kerberos, que contém o OID de autenticação do servidor, entre outros.
    • Certifique-se de que este modelo permita que a chave seja exportada e que o Nome do Assunto não seja criado no Active Directory, mas esteja marcado para ser fornecido na solicitação.
    • Certifique-se de que a segurança do modelo de certificado permite que controladores de domínio, controladores de domínio corporativos e controladores de domínio somente leitura leiam e registrem.
  4. Publique seu modelo de certificado recém-criado.
  5. Faça logon em cada controlador de domínio, solicite um novo certificado do seu modelo e defina o seguinte como informações de nomenclatura (o exemplo é paradc1.domínio.com):
    • Nome comum:dc1.domínio.com
    • SANs:dc1.domínio.com,dc1,domínio.com, edomínio.
  6. Reinicie cada controlador de domínio (nem sempre obrigatório, mas por precaução) e verifique se o canal de segurança do Visualizador de eventos não está mais emitindo avisos sobre a não localização de um certificado adequado.

Informações sobre bônus

Como posso verificar internamente a conectividade LDAPS rapidamente?

  1. Faça logon em um controlador de domínio.
  2. Inicie o LDP.exe.
  3. Abra uma nova conexão com um nome de controlador de domínio, endereço IP ou o próprio nome de domínio.
    • Porto: 636
    • SSL: Verifique
  4. Os resultados informarão se você se conectou e em qual contexto do controlador de domínio.

Como posso ver rapidamente meu certificado Schannel/LDAPS atual?

  1. Baixe e/ou obtenha acesso ao OpenSSL.
  2. openssl.exe -s_client domain.com:636
  3. Se a conexão for aberta com sucesso, a parte inicial do log mostrará os detalhes da conexão.
  4. Copie toda a -----BEGIN CERTIFICATE...seção ...END CERTIFICATE-----.
  5. Cole isso no Bloco de Notas e salve-o comocertificado.cer.
  6. Abrircertificado.cerpara ver o certificado que o Schannel/LDAPS está apresentando.

Se eu usar LDAPS (:636), posso bloquear todo o tráfego LDAP (:389)?

Sim e não. Sim; você pode bloquear LDAP (:389) em todo o tráfego Norte-Sul (entre interno e externo). Não; você não pode bloquear LDAP (:389) no tráfego Leste-Oeste (entre interno e interno). O LDAP (:389) é crucial para determinadas funções de replicação no Active Directory. Essas atividades são protegidas usando Kerberos' Signed and Sealed.

Desculpas pela falta de etapas ou capturas de tela precisas. Não estou em condições de fornecê-los neste momento.

informação relacionada