Як включити SSL для LDAP в Active Directory Windows 2003

Вступ

Як ви знаєте, служби Windows 2003 ADS (Active Directory Service) засновані на стандартах LDAP. У процесі нормальної роботи AD, користувачі можуть використовувати і створювати різні запити до каталогу LDAP з метою аутентифікації або отримання якоїсь інформації. За замовчуванням такі запити передаються в незашифрованому вигляді, і в процесі проходження по мережі, можуть бути перехоплені потенційним зловмисником. Щоб виправити цей недолік, ми можемо включити функцію LDAP через SSL, помістивши все запити LDAP в шифрований канал.

Ця стаття призначена для адміністраторів Active Directory, які хочуть активувати SSL для LDAP (Я вже писав про використання SSL при роботі зі знімками AD). У цій статті я розповім про те, як задіяти таку можливість у вашій інфраструктурі Як приклад, я буду використовувати домен »mytest.domain.com» з одним контролером домену «mypdc».

Увага! Будьте обережні, коли вносите зміни в ADS. Всі важливі зміни спочатку перевіряйте в тестовому середовищі.

Крок 1. Встановіть IIS на контролері домену Windows

Якщо на вашому контролері домену ще не встановлено сервер IIS, вам необхідно встановити його, так як цей компонент необхідний. Отже, як встановити IIS 6, який поставляється разом з Windows 2003 Server.

1. Натисніть кнопку Пуск -> Панель управління -> Add Remove Programs

2. Виберіть пункт «Чи додасть / видалити компоненти» -> відзначте прапорцем Application Server. Після чого натисніть далі, для запуску процедури установки.

Крок 2. Встановіть служби сертифікації (Certifcate Authority Service) на контролері домену

1. Натисніть кнопку Пуск -> Панель управління -> Add Remove Programs

2. Виберіть Add / Remove Windows Components -> клацніть по Certificate Services3. Натисніть кнопку Details

4. Виберіть Certificate Services CA. На що з’явилося попередження «After installing Certificate Services, the machine name and domain … ..» дайте відповідь «Так».

5. Далі запуститься майстер початкового налаштування служб сертифікації. У нашому випадку ми будемо використовувати Enterprise root CA. Натисніть кнопку “Далі”.

6. Введіть ім’я центру сертифікації. Я, наприклад, буду використовувати ім’я «myroot». Натисніть «Далі».

7. Виберіть місце розташування бази даних сертифікатів, в якій буде зберігатися вся інформація про видані сертифікати. Я залишив всі за замовчуванням. Натисніть кнопку “Далі”. На будь-які питання про зупинку IIS відповідайте згодою.

8. У результаті запуститися установка CAS. В процесі установки вас запитають, чи потрібно включити служби ASP для активації можливості web-реєстрацій в службі сертифікатів. Я відмовився, так як ця можливість не потрібна в моєму прикладі. Натисніть кнопку «Готово».

Тестування утилітою ldp

Тестувати з’єднання з ADS по протоколу LDAP ми будемо за допомогою утиліти ldp.exe. Вона входить в набір утиліт Support Pack для Windows 2003.

Введіть повне доменне ім’я (FQDN) контролера домену, якщо ви спробуєте з’єднатися по ip адресою, у вас будуть з’являтися різні помилки сертифіката, і з’єднання скинеться. Змініть номер порту на 636 і встановіть прапорець SSL.

Ссылка на основную публикацию