Início / server / Perguntas / 975933
Accepted
red888
Asked: 2019-07-20 06:30:16 +0800 CST

Se eu instalar serviços de certificado (enterprise root ca) em um controlador de domínio, o LDAPS será habilitado automaticamente?

  • 772

lendo este artigo: https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc

O primeiro método é o mais fácil: o LDAPS é ativado automaticamente quando você instala uma Enterprise Root CA em um controlador de domínio. Se você instalar a função AD-CS e especificar o tipo de configuração como “Empresa” em um DC, todos os DCs na floresta serão configurados automaticamente para aceitar LDAPS.

Isso é verdade? Se eu instalar serviços de certificado em um único DC, todos os DCs no domínio aceitam LDAPS? Todos eles se inscrevem automaticamente para certificados ou todas as solicitações LDAPS são direcionadas de volta ao DC com o root ca instalado? O que acontece se eu desinstalar o root ca do DC?

Eu tenho que habilitar o ldaps, se eu apenas instalar uma CA raiz em um DC, estou pronto?

Eu entendo as implicações de segurança, mas para meu pequeno ambiente esse seria o caminho preferível.

windows

1 respostas

  1. Best Answer

    A resposta geral

    De um modo geral, sim, barrando qualquer configuração relacionada à rede, como acesso ao firewall para o protocolo LDAPS (:636) versus o protocolo LDAP (:389).

    Em uma instalação padrão da Autoridade de Certificação integrada do Active Directory, seus controladores de domínio receberão um certificado com base no modelo de certificado do Controlador de Domínio que inclui o OID de Autenticação do Servidor como Finalidade. Qualquer certificado válido contendo este OID será automaticamente selecionado e vinculado ao LDAPS (:636) pelo serviço Schannel.

    A remoção deste certificado, ou a falta de um certificado de autenticação de servidor adequado, fará com que os eventos de aviso sejam registrados no log de segurança do Visualizador de eventos a cada segundo na fonte Schannel.

    Suporte de nome alternativo do assunto

    Uma advertência comum é a necessidade de suporte adequado de nome alternativo de assunto para certificados LDAPS. O modelo de certificado de controlador de domínio padrão não inclui nomes de certificados SAN. Se você tiver domain.com com controladores de domínio denominados dc1.domain.com e dc2.domain.com , as chamadas LDAPS (:636) para domain.com serão retornadas usando o certificado do controlador de domínio respondente ( dc1.domain.com ou dc2.domain.com ). Muitos aplicativos e protocolos tratarão isso como uma ameaça à segurança e eliminarão erros.

    Habilitando o suporte SAN para LDAPS

    1. Revogar e remover o certificado de controlador de domínio emitido padrão nos controladores de domínio.
    2. Garantir que a segurança do modelo de controlador de domínio esteja marcada para permitir a permissão de leitura, mas remova as permissões de registro e/ou registro automático para controladores de domínio, controladores de domínio corporativo e controladores de domínio somente leitura.
    3. Duplique o modelo de autenticação Kerberos, que contém o OID de autenticação do servidor, entre outros.
      • Certifique-se de que esse modelo permita que a chave seja exportada e que o Nome da Entidade não seja criado no Active Directory, mas esteja marcado para ser fornecido na solicitação.
      • Certifique-se de que a segurança do modelo de certificado permita que controladores de domínio, controladores de domínio corporativo e controladores de domínio somente leitura leiam e se inscrevam.
    4. Publique seu modelo de certificado recém-criado.
    5. Faça logon em cada controlador de domínio, solicite um novo certificado do seu modelo e defina o seguinte como as informações de nomenclatura (o exemplo é para dc1.domain.com ):
      • Nome comum: dc1.domain.com
      • SANs: dc1.domain.com , dc1 , domain.com e domain .
    6. Reinicie cada controlador de domínio (nem sempre necessário, mas para uma boa medida) e verifique se o canal de segurança do Visualizador de eventos não está mais emitindo avisos sobre não encontrar um certificado adequado.

    Informações de bônus

    Como posso verificar rapidamente a conectividade LDAPS internamente?

    1. Faça logon em um controlador de domínio.
    2. Inicie o LDP.exe.
    3. Abra uma nova conexão com um nome de controlador de domínio, endereço IP ou o próprio nome de domínio.
      • Porta: 636
      • SSL: Verifique
    4. Os resultados informarão se você se conectou e qual o contexto do controlador de domínio.

    Como posso ver rapidamente meu certificado Schannel/LDAPS atual?

    1. Baixe e/ou obtenha acesso ao OpenSSL.
    2. openssl.exe -s_client domain.com:636
    3. Se a conexão for aberta com sucesso, o porcionamento inicial do log mostrará os detalhes da conexão.
    4. Copie toda -----BEGIN CERTIFICATE...a ...END CERTIFICATE-----seção.
    5. Cole isso no Bloco de Notas e salve-o como certificate.cer .
    6. Abra certificate.cer para ver o certificado que o Schannel/LDAPS está apresentando.

    Se eu usar LDAPS (:636), posso bloquear todo o tráfego LDAP (:389)?

    Sim e não. Sim; você pode bloquear o LDAP (:389) em todo o tráfego Norte-Sul (entre interno e externo). Não; você não pode bloquear o LDAP (:389) no tráfego Leste-Oeste (entre interno e interno). O LDAP (:389) é crucial para certas funções de replicação no Active Directory. Essas atividades são protegidas usando o Kerberos' Signed and Sealed.

    Desculpas pela falta de etapas precisas ou capturas de tela. Eu não estou em um ambiente para fornecê-los neste momento.

    • 2

relate perguntas