Общий ответ

tag-icon tag-icon windows active-directory windows-server-2012-r2 ad-certificate-services
Общий ответ

читая эту статью:https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc

Первый способ самый простой: LDAPS автоматически включается при установке Enterprise Root CA на контроллере домена. Если вы устанавливаете роль AD-CS и указываете тип настройки как «Enterprise» на контроллере домена, все контроллеры домена в лесу будут автоматически настроены на прием LDAPS.

Это правда? Если я установлю службы сертификации на одном DC, все DC в домене примут LDAPS? Все ли они автоматически регистрируются на сертификаты или все запросы LDAPS направляются обратно на DC с установленным корневым ca? Что произойдет, если я удалю корневой ca с DC?

Мне нужно включить ldaps. Если я просто установлю корневой центр сертификации на контроллере домена, все будет готово?

Я понимаю последствия для безопасности, но для моей небольшой среды это был бы предпочтительный путь.

решение1

Общий ответ

В целом, да, за исключением любых сетевых конфигураций, таких как доступ через брандмауэр для протокола LDAPS (:636) вместо протокола LDAP (:389).

В стандартной установке интегрированного центра сертификации Active Directory вашим контроллерам домена будет выдан сертификат на основе шаблона сертификата контроллера домена, который включает OID аутентификации сервера в качестве предполагаемой цели. Любой действительный сертификат, содержащий этот OID, будет автоматически выбран и привязан к LDAPS (:636) службой Schannel.

Удаление этого сертификата или отсутствие надлежащего сертификата аутентификации сервера приведет к тому, что события предупреждения будут регистрироваться в журнале безопасности средства просмотра событий каждую секунду под источником Schannel.

Поддержка альтернативного имени субъекта

Распространенным предостережением является необходимость надлежащей поддержки альтернативного имени субъекта для сертификатов LDAPS. Шаблон сертификата контроллера домена по умолчанию не включает имена SAN сертификатов. Если у вас естьдомен.comс контроллерами домена с именемdc1.домен.comиdc2.домен.com, то LDAPS (:636) вызываетдомен.comбудет возвращен с использованием сертификата отвечающего контроллера домена (dc1.домен.comилиdc2.домен.com). Многие приложения и протоколы будут воспринимать это как угрозу безопасности и выдавать ошибку.

Включение поддержки SAN для LDAPS

  1. Отзыв и удаление стандартного выданного сертификата контроллера домена на контроллерах домена.
  2. Убедитесь, что в разделе «Безопасность» шаблона контроллера домена установлено разрешение на чтение, но удалены разрешения на регистрацию и/или автоматическую регистрацию для контроллеров домена, контроллеров корпоративного домена и контроллеров домена только для чтения.
  3. Дублируйте шаблон аутентификации Kerberos, который, среди прочего, содержит OID аутентификации сервера.
    • Убедитесь, что этот шаблон позволяет экспортировать ключ и что имя субъекта не создается из Active Directory, а помечено для предоставления в запросе.
    • Убедитесь, что параметры безопасности шаблона сертификата позволяют контроллерам домена, контроллерам корпоративного домена и контроллерам домена только для чтения выполнять как чтение, так и регистрацию.
  4. Опубликуйте ваш новый шаблон сертификата.
  5. Войдите в систему каждого контроллера домена, запросите новый сертификат из вашего шаблона и укажите следующую информацию в качестве имени (пример дляdc1.домен.com):
    • Распространенное имя:dc1.домен.com
    • SAN:dc1.домен.com,dc1,домен.com, идомен.
  6. Перезагрузите каждый контроллер домена (это не всегда требуется, но на всякий случай) и убедитесь, что канал безопасности средства просмотра событий больше не выдает предупреждения о том, что подходящий сертификат не найден.

Бонусная информация

Как можно быстро проверить внутреннюю возможность подключения LDAPS?

  1. Войдите в систему контроллера домена.
  2. Запустите LDP.exe.
  3. Откройте новое подключение к имени контроллера домена, IP-адресу или самому доменному имени.
    • Порт: 636
    • SSL: Проверить
  4. Результаты позволят вам узнать, подключились ли вы и к какому контексту контроллера домена.

Как я могу быстро увидеть свой текущий сертификат Schannel/LDAPS?

  1. Загрузите и/или получите доступ к OpenSSL.
  2. openssl.exe -s_client domain.com:636
  3. Если соединение установлено успешно, в начальной части журнала будут отображены сведения о соединении.
  4. Скопируйте весь -----BEGIN CERTIFICATE...раздел ...END CERTIFICATE-----.
  5. Вставьте это в Блокнот и сохраните каксертификат.cer.
  6. Открытьсертификат.cerчтобы увидеть сертификат, который представляет Schannel/LDAPS.

Если я использую LDAPS (:636), могу ли я заблокировать весь трафик LDAP (:389)?

И да, и нет. Да; вы можете заблокировать LDAP (:389) для всего трафика Север-Юг (между внутренним и внешним). Нет; вы не можете заблокировать LDAP (:389) для трафика Восток-Запад (между внутренним и внутренним). LDAP (:389) имеет решающее значение для определенных функций репликации в Active Directory. Эти действия защищены с помощью Kerberos Signed and Sealed.

Извините за отсутствие точных шагов или скриншотов. Я не в той среде, из которой я могу их предоставить в данный момент.

Связанный контент