Tenho um DC em execução no Windows Server 2019 e ele tem a função Domain Services instalada. Eu tenho uma CA multicamada configurada no mesmo domínio usando a função AD CS (raiz desligada, intermediária desligada, emissão ligada e ingressada no domínio).
Estou tendo problemas para fazer com que clientes de terceiros (ou seja, máquinas e/ou aplicativos da Web não associados ao domínio) acessem o BIND via LDAPS/636. Eles funcionam perfeitamente com LDAP/389, e alguns funcionam com StartTLS, embora isso nem sempre seja uma opção, e minha preferência é usar LDAPS adequado.
Gerei um certificado para o servidor AD e certifiquei-me de usar seu FQDN no Assunto do certificado, além de incluir seu nome de host DNS e endereço IP como SANs para cobrir todas as bases. Também verifiquei se "Autenticação de servidor" foi selecionada na extensão Enhanced Key Usage.
Ainda estou para verificar isso porque não tenho acesso remoto ao ambiente, mas vamos supor que o certificado foi gerado usando o Schannel CSP de acordo com a documentação da Microsoft. O certificado é assinado pela CA emissora correta e os clientes têm toda a cadeia de CA instalada e podem verificar o certificado do AD localmente (se eu exportar o certificado do AD e copiá-lo para um dos clientes)
É aqui que fica estranho: se eu entrar no servidor AD, abrir ldp.exe, posso me conectar via LDAPS/636 usando SSL e Host supports SSL, SSL cipher strength = 256 bitsaparecer na visualização de saída/console. No entanto, se eu entrar em um dos clientes - digamos, uma máquina Linux - e tentar conectar-me usando o openssl:
openssl s_client -showcerts -state -connect <AD_FQDN>:636
Não recebo um certificado; Em vez disso, entendi (tive que anotar em vez de copiar/colar devido à natureza da rede, portanto, pode haver pequenas imprecisões):
CONNECTED (00000003)
write: errno = 104
---
no peer certificate available
---
No client cert CA names sent
---
SSL handshake has read 0 bytes and written 324 bytes
Verification: OK
---
<snip>
Na verdade, se eu tentar configurar um cliente para usar LDAPS para autenticação, ainda não conseguirei fazê-lo funcionar. Normalmente vejo algo parecido com esse erro inútil: SSL_Certificate error: Connection closed by peero que, pela minha experiência, geralmente indica um problema de verificação/confiança do certificado (o que faria sentido se o cliente nem estivesse recebendo um certificado para verificar). Alguns outros clientes são ainda menos úteis e apenas dizem "Falha ao BIND ao servidor LDAP"
O DC está definitivamente escutando na porta 636 e posso me conectar a ele externamente a partir dos clientes (ou seja, não apenas no loopback dentro da máquina DC) que verifiquei usando o netcat
nc -vz <AD_FQDN> 636
Alguma idéia do que poderia estar causando esse problema?
Responder1
Acontece que nosso firewall estava realizando inspeção de aplicativos e interrompendo a conexão SSL. Desativar a inspeção de aplicativos resolveu meus problemas.