Назад | Перейти на главную страницу

Если я устанавливаю службы сертификатов (корпоративный корневой каталог) на контроллере домена, включается ли LDAPS автоматически?

читая эту статью: https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc

Первый способ самый простой: LDAPS автоматически включается при установке корпоративного корневого центра сертификации на контроллере домена. Если вы устанавливаете роль AD-CS и указываете тип установки «Enterprise» на контроллере домена, все контроллеры домена в лесу будут автоматически настроены для приема LDAPS.

Это правда? Если я устанавливаю службы сертификатов на одном контроллере домена, все контроллеры домена в домене принимают LDAPS? Все ли они автоматически регистрируются для сертификатов или все запросы LDAPS направляются обратно в контроллер домена с установленным корневым CA? Что произойдет, если я удалю корневой CA с DC?

Мне нужно включить ldaps, если я просто установлю корневой ЦС на DC, я готов?

Я понимаю последствия для безопасности, но для моей небольшой среды это был бы предпочтительный путь.

Общий ответ

В общем, да, запретить любые сетевые конфигурации, такие как доступ к брандмауэру для протокола LDAPS (: 636) по сравнению с протоколом LDAP (: 389).

При стандартной установке интегрированного центра сертификации Active Directory вашим контроллерам домена будет выдан сертификат на основе шаблона сертификата контроллера домена, который включает OID проверки подлинности сервера в качестве предполагаемой цели. Любой действительный сертификат, содержащий этот OID, будет автоматически принят и привязан к LDAPS (: 636) службой Schannel.

Удаление этого сертификата или отсутствие надлежащего сертификата проверки подлинности сервера приведет к тому, что предупреждающие события будут регистрироваться в журнале безопасности средства просмотра событий каждую секунду в источнике Schannel.

Поддержка альтернативного имени субъекта

Распространенное предостережение - необходимость надлежащей поддержки альтернативного имени субъекта для сертификатов LDAPS. Шаблон сертификата контроллера домена по умолчанию не включает имена сертификатов SAN. Если у вас есть domain.com с контроллерами домена с именем dc1.domain.com и dc2.domain.com, затем LDAPS (: 636) вызывает domain.com будет возвращен с использованием сертификата отвечающего контроллера домена (dc1.domain.com или dc2.domain.com). Многие приложения и протоколы будут рассматривать это как угрозу безопасности и выводить из строя.

Включение поддержки SAN для LDAPS

  1. Отзыв и удаление стандартного выданного сертификата контроллера домена на контроллерах домена.
  2. Обеспечение безопасности шаблона контроллера домена помечено, чтобы разрешить разрешение на чтение, но удалить разрешения регистрации и / или автоматической регистрации для контроллеров домена, контроллеров домена предприятия и контроллеров домена только для чтения.
  3. Скопируйте шаблон проверки подлинности Kerberos, который, среди прочего, содержит OID проверки подлинности сервера.
    • Убедитесь, что этот шаблон позволяет экспортировать ключ и что имя субъекта не создается из Active Directory, а помечено для предоставления в запросе.
    • Убедитесь, что безопасность шаблона сертификата позволяет контроллерам домена, контроллерам домена предприятия и контроллерам домена только для чтения выполнять как чтение, так и регистрацию.
  4. Опубликуйте вновь созданный шаблон сертификата.
  5. Войдите в систему на каждом контроллере домена, запросите новый сертификат из своего шаблона и установите следующие данные в качестве информации об именовании (пример для dc1.domain.com):
    • Распространенное имя: dc1.domain.com
    • SAN: dc1.domain.com, dc1, domain.com, и домен.
  6. Перезапустите каждый контроллер домена (не всегда требуется, но для хорошей меры) и убедитесь, что канал безопасности средства просмотра событий больше не выдает предупреждения о том, что подходящий сертификат не найден.

Бонусная информация

Как я могу быстро проверить подключение LDAPS изнутри?

  1. Войдите в систему на контроллере домена.
  2. Запустите LDP.exe.
  3. Откройте новое соединение с именем контроллера домена, IP-адресом или самим доменным именем.
    • Порт: 636
    • SSL: Проверить
  4. По результатам вы узнаете, подключились ли вы и к какому контексту контроллера домена.

Как я могу быстро увидеть свой текущий сертификат Schannel / LDAPS?

  1. Загрузите и / или получите доступ к OpenSSL.
  2. openssl.exe -s_client domain.com:636
  3. Если соединение открылось успешно, начальное разделение журнала покажет детали соединения.
  4. Скопируйте весь -----BEGIN CERTIFICATE... через ...END CERTIFICATE----- раздел.
  5. Вставьте это в Блокнот и сохраните как certificate.cer.
  6. открыто certificate.cer чтобы увидеть сертификат, который представляет Schannel / LDAPS.

Если я использую LDAPS (: 636), могу ли я заблокировать весь трафик LDAP (: 389)?

Да и нет. Да; вы можете заблокировать LDAP (: 389) для всего трафика Север-Юг (между внутренним и внешним). Нет; вы не можете заблокировать LDAP (: 389) для трафика Восток-Запад (между внутренним и внутренним). LDAP (: 389) имеет решающее значение для определенных функций репликации в Active Directory. Эти действия защищены с помощью Kerberos Signed and Sealed.

Приносим извинения за отсутствие точных шагов или снимков экрана. Я не нахожусь в среде, из которой я мог бы их поставлять в данный момент.