Вопросы Теги

Если я устанавливаю службы сертификации (корпоративный корневой каталог) на контроллере домена, будет ли LDAPS автоматически включен?

читая эту статью: https: //www.petri. com / enable-secure-ldap-windows-server-2008-2012-dc

Первый способ самый простой: LDAPS автоматически включается, когда вы устанавливаете корневой центр сертификации предприятия на контроллер домена. если ты установите роль AD-CS и укажите тип установки «Предприятие» на контроллере домена все контроллеры домена в лесу будут автоматически настроены на принять LDAPS.

Это правда? Если я устанавливаю службы сертификатов на одном контроллере домена, все контроллеры домена в домене принимают LDAPS? Все ли они автоматически регистрируются для сертификатов или все запросы LDAPS направляются обратно в контроллер домена с установленным корневым CA? Что произойдет, если я удалю корневой CA из контроллера домена?

Мне нужно включить ldaps, если я просто установлю корневой CA на DC, я закончил?

Я понимаю последствия для безопасности, но для моей небольшой среды это будет быть предпочтительным путем.

1
задан 19 July 2019 в 17:30
1 ответ

Общий ответ

В общем, да, запрет любых сетевых конфигураций, таких как доступ к брандмауэру для протокола LDAPS (: 636) по сравнению с протоколом LDAP (: 389).

В стандартной установке интегрированного центра сертификации Active Directory ваши контроллеры домена будут выдал сертификат на основе шаблона сертификата контроллера домена, который включает OID проверки подлинности сервера в качестве предполагаемой цели. Любой действительный сертификат, содержащий этот OID, будет автоматически выбран и привязан к LDAPS (: 636) службой Schannel.

Удаление этого сертификата или отсутствие надлежащего сертификата аутентификации сервера приведет к тому, что предупреждающие события будут регистрироваться в средстве просмотра событий Журнал безопасности каждую секунду под источником Schannel.

Поддержка альтернативного имени субъекта

Распространенное предостережение требует правильной поддержки альтернативного имени субъекта для сертификатов LDAPS. Шаблон сертификата контроллера домена по умолчанию не включает имена сертификатов SAN. Если у вас есть domain.com с контроллерами домена с именами dc1.domain.com и dc2.domain.com , то LDAPS (: 636) обращается к domain.com будет возвращен с использованием сертификата отвечающего контроллера домена ( dc1.domain.com или dc2.domain.com ). Многие приложения и протоколы будут рассматривать это как угрозу безопасности и выводить ошибку.

Включение поддержки SAN для LDAPS

  1. Отзыв и удаление стандартного выданного сертификата контроллера домена на контроллерах домена.
  2. Обеспечение безопасности шаблона контроллера домена помечены, чтобы разрешить чтение, но удалить разрешения на регистрацию и / или автоматическую регистрацию для контроллеров домена, контроллеров домена предприятия,и контроллеры домена только для чтения.
  3. Дублируйте шаблон аутентификации Kerberos, который среди прочего содержит OID аутентификации сервера.
    • Убедитесь, что этот шаблон разрешает экспорт ключа и что имя субъекта не создается из Active Directory, а помечено как предоставляемое в запросе.
    • Убедитесь, что безопасность шаблона сертификата разрешает использование контроллеров домена, контроллеров домена предприятия и контроллеры домена только для чтения для чтения и регистрации.
  4. Опубликуйте вновь созданный шаблон сертификата.
  5. Войдите в систему на каждом контроллере домена, запросите новый сертификат из своего шаблона и установите следующее в качестве информации об именовании (пример: для dc1.domain.com ):
    • Общее имя: dc1.domain.com
    • SAN: dc1.domain.com , dc1 , domain.com и домен .
  6. Перезапустите каждый контроллер домена (не всегда требуется, но для хорошей меры) и убедитесь, что канал безопасности средства просмотра событий больше не выдает предупреждения о невозможности найти подходящий сертификат.

Дополнительная информация

Как я могу быстро проверить подключение LDAPS изнутри?

  1. Войдите в систему на контроллере домена.
  2. Запустите LDP.exe.
  3. Откройте новое соединение с именем контроллера домена, IP-адресом или самим доменным именем.
    • Порт: 636
    • SSL: проверьте
  4. В результатах вы узнаете, подключены ли вы и к какому контексту контроллера домена.

Как быстро просмотреть текущий сертификат канала Schannel / LDAPS?

  1. Загрузите и / или получите доступ к OpenSSL.
  2. openssl.exe -s_client domain.com:636
  3. Если соединение открылось успешно, начальное разделение журнала покажет детали соединения.
  4. Скопируйте весь ----- НАЧАТЬ СЕРТИФИКАТ ... через ... КОНЕЦ СЕРТИФИКАТА ----- раздел.
  5. Вставьте это в Блокнот и сохраните как certificate.cer .
  6. Откройте certificate.cer , чтобы увидеть сертификат, который представляет Schannel / LDAPS.

Если я использую LDAPS (: 636), могу ли я заблокировать весь трафик LDAP (: 389)?

Да и нет. Да; вы можете заблокировать LDAP (: 389) для всего трафика Север-Юг (между внутренним и внешним). Нет; вы не можете заблокировать LDAP (: 389) для трафика Восток-Запад (между внутренним и внутренним). LDAP (: 389) имеет решающее значение для определенных функций репликации в Active Directory. Эти действия защищены с помощью Kerberos Signed and Sealed.

Приносим извинения за отсутствие точных шагов или снимков экрана. В данный момент я не нахожусь в той среде, откуда я мог бы их поставлять.

2
ответ дан 3 December 2019 в 20:06

Теги

Похожие вопросы