Меню

Настройка привязки по ldap



Руководство по настройке аутентификации пользователей посредством LDAP.

Михаил Захаров (zakharov@ipb.redline.ru)

Введение.

В крупных организациях увеличение числа пользователей неизбежно ведет к проблемам администрирования их учетных записей. В этом случае возникает необходимость внедрения единой системы аутентификации. Один из вариантов такой системы может быть основан на использовании сервера LDAP.

Для построения такой системы на FreeBSD (FreeBSD-4.4-Release) мною было использовано следующее свободно-распространяемое программное обеспечение:

Перед началом заранее хочу сделать несколько важных замечаний и предостережений. Во-первых, предлагаемое руководство относится к жанру quick start , и приведенные здесь варианты конфигурации не являются идеальным решением проблемы аутентификации, это лишь модель работы системы аутентификации, построенной на LDAP. Во-вторых, проводить изменения в pam.conf нужно осторожно, поскольку возможна ситуация при которой ни один пользователь просто не сможет пройти аутентификацию ни одним методом. И, наконец, в-третьих, после установки сервера LDAP, следует убедиться, что библиотеки liblber .* и libldap.* находятся в каталогах /usr/lib, а файлы disptmpl.h, lber*.h, ldap*.h и srchpref.h располагаются в каталоге /usr/include. Это избавит вас от ошибок компиляции и линкования клиентского программного обеспечения.

Настройка сервера LDAP.

В качестве сервера LDAP будем настраивать OpenLDAP-2.0.23. Все конфигурационные файлы OpenLDAP находятся в каталоге /usr/local/etc/openldap. Здесь, прежде всего, интересен файл slapd.conf, в котором указываются настройки сервера. В нашем случае этот файл должен состоять как минимум из следующих 8-ми строк:

Первые три строки подключают схемы LDAP. Формат и структура данных, хранимые в LDAP, определяются схемами. Порядок подключения схем важен, поскольку схема может использовать значения, определенные в другой схеме.

Далее указывается тип базы данных, в которой по-настоящему и хранится информация, в нашем случае это ldbm.

Suffix определяет основу для формирования запроса, корень, к которому мы обращаемся при запросе к базе банных LDAP. Suffix выбирается при настройке LDAP-сервера и обычно является доменным именем организации.

Затем следует запись об администраторе (rootdn) и его пароль (rootpw). Необходимо заметить, что учетная запись администратора действует даже в тех случаях, когда в самой базе данных административная запись отсутствует или содержит пароль, отличающийся от указанного в rootpw.

Последняя строка определяет каталог, в котором будут находиться файлы базы данных LDBM.

В завершении, в slapd.conf полезно добавить правила, разграничивающие доступ к ресурсам LDAP, например такие:

access to dn=».*,dc=testdomain,dc=ru» attr=userPassword

Источник

Аутентификация LDAP — настройки

Страница Аутентификация LDAP служит для настройки сервера LDAP с целью аутентификации пользователей устройств (многофункциональное периферийное устройство, цифровой копир или устройство цифровой отправки). Если аутентификация LDAP выбрана в качестве Способа регистрации для одного или нескольких Функций устройств на странице Диспетчер аутентификации, пользователь должен ввести действительные имя пользователя и пароль для получения доступа к этим функциям.

Процедура аутентификации состоит из двух взаимозависимых этапов. На первом этапе устройство проверяет имя пользователя и пароль на сервере LDAP. После ввода правильного имени пользователя и пароля и их проверки устройство ищет адрес электронной почты пользователя и его имя. При возникновении ошибки хотя бы на одном этапе блокируется доступ пользователя к функциям, требующим аутентификации LDAP.

На странице Аутентификация LDAP можно задать параметры доступа к серверу LDAP и поиска информации пользователя. Обратите внимание, что данную страницу можно использовать только в том случае, если LDAP выбран в качестве Способа регистрации на странице Диспетчер аутентификации.

Подключение к серверу LDAP

Способ привязки сервера LDAP

Параметр Способ привязки сервера LDAP определяет, как устройство будет осуществлять подключение к серверу LDAP. Обратитесь к администратору сервера LDAP, чтобы определить наиболее оптимальный для вас способ.

  • Простой — Выбранный сервер LDAP не поддерживает шифрование. Обратите внимание, что пароль (если он существует) будет отправлен по сети в открытом виде.
  • Простой через SSL — Выбранный сервер LDAP поддерживает шифрование с помощью протокола SSL. Все данные, в том числе имя пользователя и пароль, будут шифроваться. Сервер LDAP должен быть настроен для поддержки SSL, включая настройку сертификата для его идентификации. Кроме того, сетевой интерфейс устройства должен быть настроен с использованием сертификата Центра сертификации (CA) для проверки сервера LDAP. Сертификат CA настраивается на вкладке Сеть Web-интерфейса. В некоторых конфигурациях серверов LDAP необходимо также создавать сертификат клиента, который настраивается на этой же вкладке Сеть.

Сервер LDAP

Параметр Сервер LDAP представляет собой имя хоста или IP-адрес сервера LDAP, которое будет использоваться для аутентификации пользователей устройства. В случае использования SSL введенное здесь имя или адрес должны соответствовать имени в сертификате, направляемом сервером.

В этом поле можно указать несколько серверов, разделяя их адреса знаком вертикальной полосы (‘|’, ASCII 0x7c). Эту функцию можно, например, использовать для указания основного и резервного серверов. Сетевой интерфейс поддерживает поддерживает только один сертификат CA, поэтому все серверы LDAP в этом списке должны использовать один сертификат CA.

Параметр Порт определяет номер порта TCP/IP, на котором сервер обрабатывает запросы LDAP. Обычно это порт 389 для Простой привязки или 636 для привязок Простой через SSL.

Имя пользователя и пароль для поиска

В аутентификации LDAP используется два способа аутентификации пользователя.

Первый способ называется Имя и пароль пользователя устройства ; он предполагает “конструирование” DN (отличительного имени) пользователя для аутентификации (“привязки”) в каталоге LDAP. В начало информации, вводимой пользователем на панели управления, добавляется Префикс DN , и данная строка добавляется к строке Привязка и начало поиска . Например префикс DN “CN” в сочетании с введенной пользователем строкой john.doe@nasa.gov и строкой привязки и начала поиска OU=Engineering,DC=NASA,DC=GOV определит DN пользователя: CN=john.doe@nasa.gov,OU=Engineering,DC=NASA,DC=GOV

Второй способ называется Использование имени пользователя и пароля администратора и позволяет искать DN пользователя вместо его «реконструкции». В данном способе для первоначальной привязки используются регистрационные данные администратора (DN и пароль), и начинается поиск DN пользователя, проходящего аутентификацию. При обнаружении DN этого пользователя устройство предпримет попытку выполнить аутентификацию с помощью полученного значения DN и пароля, введенного пользователем на панели управления устройства. Если аутентификация выполнена успешно, считывается адрес электронной почты пользователя и он получает доступ к функциям устройства.

Способ Имя и пароль пользователя устройства следует использовать, когда все пользователи находятся в одном контейнере каталога LDAP, а первым следует слагаемое DN, которое пользователь обычно использует для аутентификации. Обратите внимание, что допускается ввод нескольких строк привязки и начала поиска при условии разделения их знаком “|”, и устройство предпримет попытки поочередно аутентифицировать пользователя по каждому из значений привязки и начала поиска. Данный способ может быть применен, если пользователи находятся в нескольких контейнерах каталога LDAP.

Способ Использование имени пользователя и пароля администратора следует применять в том случае, если пользователи находятся в нескольких контейнерах, либо если первое слагаемое DN обычно неизвестно некоторым пользователям или не используется для аутентификации в других системах. При использовании этого способа пользователю может быть предложено ввести уникальный атрибут LDAP, такой как SAMAccountName или даже номер телефона пользователя — атрибут TelephoneNumber.

Имя и пароль пользователя устройства

В этом способе используется префикс привязки — строка, которую пользователь вводит на панели управления устройства, а также строка Привязка и начало поиска для воссоздания DN пользователя. Воссозданный DN используется для аутентификации пользователя.

Префикс привязки

Параметр Префикс привязки — это атрибут LDAP, используемый для построения DN пользователя для целей аутентификации. Этот префикс комбинируется с именем пользователя, введенным на панели управления, образуя относительное отличительное имя (RDN). Обычно используется префикс «CN» (для общего имени) или «UID» (для идентификатора пользователя).

Использование имени пользователя и пароля администратора

Это DN (отличительное имя) пользователя, имеющего права чтения каталога LDAP. Введенная здесь учетная запись может не иметь административного доступа к каталогу. Прав чтения достаточно.

Пароль пользователя, чей DN введен в поле «DN администратора».

Поиск по базе данных LDAP

Привязка и начало поиска

При выборе способа Имя и пароль пользователя устройства значение Привязка и начало поиска используется на обоих этапах аутентификации. На этапе проверки имени пользователя и пароля это значение комбинируется с RDN для воссоздания полного отличительного имени пользователя (DN). На этапе поиска информации пользователя это значение является DN записи LDAP, с которой начинается поиск.

При выборе способа Использование имени пользователя и пароля администратора строка Привязка и начало поиска используется только как начало поиска. Начало поиска в базе каталога LDAP может быть задано, и устройство выполнит поиск по всему дереву LDAP объекта пользователя, соответствующего введенному имени пользователя.

Строка состоит из пар «атрибут=значение», разделенных запятыми. Например:

При выборе способа «Имя и пароль пользователя устройства» в это поле можно ввести несколько несколько строк привязки, разделенных знаком вертикальной черты (‘|’, ASCII 0x7c). Это можно использовать, например, для указания альтернативных доменов LDAP. Устройство предпримет попытку привязать сервер LDAP, используя поочередно все строки в заданном порядке. После успешного выполнения привязки тот же корневой объект используется для поиска информации пользователя устройства.

Атрибут LDAP, соответствующий имени пользователя

При выполнении поиска информации пользователя в базе данных LDAP значение атрибута, указанного в этом поле, сравнивается с именем пользователя, введенного при аутентификации. Обычно этот атрибут такой же, как Префикс привязки.

Получение

адреса электронной почты, используя атрибут

После того, как пользователь устройства найден в базе данных LDAP, его электронный адрес находят в базе данных с помощью атрибута LDAP, указанного в поле адрес электронной почты, используя атрибут.

и имя, используя атрибут

Экранное имя пользователя получают из атрибута LDAP, указанного в поле имя, используя атрибут.

Тестирование

Функция Тестирование используется для проверки правильности параметров перед их применением. При нажатии этой кнопки вам будет предложено ввести имя пользователя и пароль, как если бы вы регистрировались на панели управления устройства. Если введенные регистрационные данные прошли аутентификацию и информация пользователя найдена в базе данных LDAP, появляется сообщение об успешном выполнении проверки. В противном случае появится сообщение об ошибке с указанием на отрицательный результат аутентификации.

Источник

Руководство по настройке защищенного протокола LDAP для управляемого домена доменных служб Azure AD Tutorial: Configure secure LDAP for an Azure Active Directory Domain Services managed domain

Для взаимодействия с управляемым доменом доменных служб (DS) Azure AD используется протокол LDAP. To communicate with your Azure Active Directory Domain Services (Azure AD DS) managed domain, the Lightweight Directory Access Protocol (LDAP) is used. По умолчанию трафик LDAP не шифруется, что создает проблему безопасности во многих средах. By default, the LDAP traffic isn’t encrypted, which is a security concern for many environments.

С помощью доменных служб Azure AD вы можете настроить для управляемого домена протокол LDAPS. With Azure AD DS, you can configure the managed domain to use secure Lightweight Directory Access Protocol (LDAPS). При использовании защищенного протокола LDAP трафик шифруется. When you use secure LDAP, the traffic is encrypted. Защищенный протокол LDAP также называется «LDAP через SSL или TLS». Secure LDAP is also known as LDAP over Secure Sockets Layer (SSL) / Transport Layer Security (TLS).

В этом учебнике показано, как настроить протокол LDAPS для управляемого домена Azure AD DS. This tutorial shows you how to configure LDAPS for an Azure AD DS managed domain.

В этом руководстве описано следующее: In this tutorial, you learn how to:

  • Создание цифрового сертификата для использования с Azure AD DS. Create a digital certificate for use with Azure AD DS
  • Включение защищенного протокола LDAP для доменных служб Azure AD DS. Enable secure LDAP for Azure AD DS
  • Настройка защищенного протокола LDAP для работы через общедоступный Интернет. Configure secure LDAP for use over the public internet
  • Привязка и тестирование защищенного протокола LDAP для управляемого домена Bind and test secure LDAP for a managed domain

Если у вас еще нет подписки Azure, создайте учетную запись Azure, прежде чем начинать работу. If you don’t have an Azure subscription, create an account before you begin.

Предварительные требования Prerequisites

Для работы с этим учебником требуются следующие ресурсы и разрешения: To complete this tutorial, you need the following resources and privileges:

  • Активная подписка Azure. An active Azure subscription.
    • Если у вас еще нет подписки Azure, создайте учетную запись. If you don’t have an Azure subscription, create an account.
  • Связанный с вашей подпиской клиент Azure Active Directory, синхронизированный с локальным или облачным каталогом. An Azure Active Directory tenant associated with your subscription, either synchronized with an on-premises directory or a cloud-only directory.
    • Если потребуется, создайте клиент Azure Active Directory или свяжите подписку Azure со своей учетной записью. If needed, create an Azure Active Directory tenant or associate an Azure subscription with your account.
  • Управляемый домен доменных служб Azure Active Directory, включенный и настроенный в клиенте Azure AD. An Azure Active Directory Domain Services managed domain enabled and configured in your Azure AD tenant.
    • При необходимости создайте и настройте управляемый домен доменных служб Azure Active Directory. If needed, create and configure an Azure Active Directory Domain Services managed domain.
  • Средство LDP.exe, установленное на компьютере. The LDP.exe tool installed on your computer.
    • При необходимости установите средства удаленного администрирования сервера (RSAT) для доменных служб Active Directory и LDAP. If needed, install the Remote Server Administration Tools (RSAT) for Active Directory Domain Services and LDAP.

Вход на портал Azure Sign in to the Azure portal

В этом руководстве объясняется, как настроить защищенный протокол LDAP для управляемого домена с помощью портала Azure. In this tutorial, you configure secure LDAP for the managed domain using the Azure portal. Чтобы начать работу, войдите на портал Azure. To get started, first sign in to the Azure portal.

Создание сертификата для защищенного протокола LDAP Create a certificate for secure LDAP

Чтобы использовать защищенный протокол LDAP, нужен цифровой сертификат для шифрования при обмене данными. To use secure LDAP, a digital certificate is used to encrypt the communication. Этот цифровой сертификат применяется к управляемому домену и позволяет таким средствам, как LDP.exe, использовать безопасное зашифрованное соединение при отправке запросов к данным. This digital certificate is applied to your managed domain, and lets tools like LDP.exe use secure encrypted communication when querying data. У вас есть два способа создать сертификат для доступа управляемому домену через защищенный протокол LDAP. There are two ways to create a certificate for secure LDAP access to the managed domain:

  • Сертификат общедоступного ЦС или ЦС предприятия. A certificate from a public certificate authority (CA) or an enterprise CA.
    • Если ваша организация получает сертификаты из общедоступного ЦС, получите сертификат для защищенного протокола LDAP в том же ЦС. If your organization gets certificates from a public CA, get the secure LDAP certificate from that public CA. Если вы используете в организации ЦС предприятия, получите сертификат для защищенного протокола LDAP в том же ЦС. If you use an enterprise CA in your organization, get the secure LDAP certificate from the enterprise CA.
    • Общедоступный ЦС работает только при наличии настраиваемого DNS-имени для управляемого домена. A public CA only works when you use a custom DNS name with your managed domain. Если доменное имя DNS для управляемого домена заканчивается на .onmicrosoft.com, вы не сможете создать цифровой сертификат для защиты связи с этим доменом по умолчанию. If the DNS domain name of your managed domain ends in .onmicrosoft.com, you can’t create a digital certificate to secure the connection with this default domain. Домен .onmicrosoft.com принадлежит корпорации Майкрософт, поэтому общедоступный ЦС не будет выдавать для него сертификаты. Microsoft owns the .onmicrosoft.com domain, so a public CA won’t issue a certificate. Для данного сценария создайте самозаверяющий сертификат и используйте его для настройки защищенного протокола LDAP. In this scenario, create a self-signed certificate and use that to configure secure LDAP.
  • Самозаверяющий сертификат, который вы можете создать самостоятельно. A self-signed certificate that you create yourself.
    • Этот подход удобен для тестирования, и в этом руководстве мы используем именно его. This approach is good for testing purposes, and is what this tutorial shows.

Создаваемый или запрашиваемый сертификат должен отвечать приведенным ниже требованиям. The certificate you request or create must meet the following requirements. Управляемый домен будет работать неправильно, если вы укажете недопустимый сертификат при включении защищенного протокола LDAP. Your managed domain encounters problems if you enable secure LDAP with an invalid certificate:

  • Надежный издатель. Сертификат должен быть выдан центром сертификации, являющимся доверенным для компьютеров, подключающихся к управляемому домену по защищенному протоколу LDAP. Trusted issuer — The certificate must be issued by an authority trusted by computers connecting to the managed domain using secure LDAP. Это может быть общедоступный ЦС или ЦС предприятия, который является доверенным для этих компьютеров. This authority may be a public CA or an Enterprise CA trusted by these computers.
  • Срок действия. Сертификат должен быть допустимым в течение по крайней мере следующих 3–6 месяцев. Lifetime — The certificate must be valid for at least the next 3-6 months. Защищенный доступ LDAP к управляемому домену не будет прерван после истечения срока действия сертификата. Secure LDAP access to your managed domain is disrupted when the certificate expires.
  • Имя субъекта. Имя субъекта сертификата должно состоять из имени управляемого домена. Subject name — The subject name on the certificate must be your managed domain. Например, если имя домена — aaddscontoso.com, имя субъекта сертификата должно быть * .aaddscontoso.com. For example, if your domain is named aaddscontoso.com, the certificate’s subject name must be *.aaddscontoso.com.
    • DNS-имя или альтернативное имя субъекта сертификата должно означать универсальный сертификат, чтобы защищенный протокол LDAP правильно работал в доменных службах Azure AD. The DNS name or subject alternate name of the certificate must be a wildcard certificate to ensure the secure LDAP works properly with the Azure AD Domain Services. Контроллеры домена используют случайные имена и их можно свободно удалять и добавлять в соответствии с требованиями к доступности службы. Domain Controllers use random names and can be removed or added to ensure the service remains available.
  • Использование ключа. Сертификат необходимо настроить для цифровых подписей и шифрования ключей. Key usage — The certificate must be configured for digital signatures and key encipherment.
  • Назначение сертификата. Сертификат должен быть допустимым для аутентификации на сервере TLS. Certificate purpose — The certificate must be valid for TLS server authentication.

Существует несколько средств для создания самозаверяющего сертификата, например OpenSSL, Keytool, MakeCert, командлет New-SelfSignedCertificate и т. д. There are several tools available to create self-signed certificate such as OpenSSL, Keytool, MakeCert, New-SelfSignedCertificate cmdlet, etc.

Для целей этого руководства мы создадим самозаверяющий сертификат для защищенного протокола LDAP, используя командлет New-SelfSignedCertificate. In this tutorial, let’s create a self-signed certificate for secure LDAP using the New-SelfSignedCertificate cmdlet.

Откройте окно PowerShell с правами администратора и выполните приведенные ниже команды. Open a PowerShell window as Administrator and run the following commands. Замените переменную $dnsName DNS-именем, которое используется для управляемого домена, например aaddscontoso.com: Replace the $dnsName variable with the DNS name used by your own managed domain, such as aaddscontoso.com:

В этом примере выходных данных сообщается, что сертификат успешно создан и сохранен в локальном хранилище сертификатов (LocalMachine\MY): The following example output shows that the certificate was successfully generated and is stored in the local certificate store (LocalMachine\MY):

Выбор и экспорт нужных сертификатов Understand and export required certificates

Для защищенного протокола LDAP сетевой трафик шифруется с использованием инфраструктуры открытых ключей (PKI). To use secure LDAP, the network traffic is encrypted using public key infrastructure (PKI).

  • Закрытый ключ применяется к управляемому домену. A private key is applied to the managed domain.
    • Этот закрытый ключ используется для расшифровки трафика защищенного протокола LDAP. This private key is used to decrypt the secure LDAP traffic. Закрытый ключ следует применять только к управляемому домену, не распространяя его на клиентские компьютеры. The private key should only be applied to the managed domain and not widely distributed to client computers.
    • Сертификат, который содержит закрытый ключ, использует файл в формате PFX. A certificate that includes the private key uses the .PFX file format.
    • Для шифрования сертификата необходимо использовать алгоритм TripleDES-SHA1. The encryption algorithm for the certificate must be TripleDES-SHA1.
  • Открытый ключ применяется к клиентским компьютерам. A public key is applied to the client computers.
    • Этот открытый ключ используется для шифрования трафика защищенного протокола LDAP. This public key is used to encrypt the secure LDAP traffic. Открытый ключ можно распространять на клиентские компьютеры. The public key can be distributed to client computers.
    • Сертификаты без закрытого ключа используют файл в формате CER. Certificates without the private key use the .CER file format.

Эта пара закрытого и открытого ключей гарантирует, что взаимодействие будет возможно только между теми компьютерами, для которых вы его настроите. These two keys, the private and public keys, make sure that only the appropriate computers can successfully communicate with each other. Если вы используете общедоступный ЦС или ЦС предприятия, вам будет выдан сертификат с закрытым ключом, который можно применить к управляемому домену. If you use a public CA or enterprise CA, you are issued with a certificate that includes the private key and can be applied to a managed domain. Открытый ключ должен быть известен клиентским компьютерам и настроен на них как доверенный. The public key should already be known and trusted by client computers.

В рамках этого руководства вы уже создали самозаверяющий сертификат с закрытым ключом, и теперь примените его закрытый и общедоступный компоненты. In this tutorial, you created a self-signed certificate with the private key, so you need to export the appropriate private and public components.

Экспорт сертификата для Azure AD DS Export a certificate for Azure AD DS

Прежде чем применять для управляемого домена цифровой сертификат, созданный на предыдущем шаге, экспортируйте PFX-файл сертификата, который содержит закрытый ключ. Before you can use the digital certificate created in the previous step with your managed domain, export the certificate to a .PFX certificate file that includes the private key.

Откройте диалоговое окно Выполнить, нажав клавиши Windows + R. To open the Run dialog, select the Windows + R keys.

Откройте консоль управления (MMC), введя команду mmc в диалоговом окне Выполнить, а затем щелкните ОК. Open the Microsoft Management Console (MMC) by entering mmc in the Run dialog, then select OK.

В окне Контроль учетных записей пользователей щелкните Да, чтобы запустить MMC от имени администратора. On the User Account Control prompt, then select Yes to launch MMC as administrator.

В меню Файл выберите Добавить или удалить оснастку. . From the File menu, select Add/Remove Snap-in.

В мастере Оснастка диспетчера сертификатов выберите Учетная запись компьютера и щелкните Далее. In the Certificates snap-in wizard, choose Computer account, then select Next.

На странице Выбор компьютера выберите Локальный компьютер (на котором выполняется консоль) и щелкните Готово. On the Select Computer page, choose Local computer: (the computer this console is running on), then select Finish.

В диалоговом окне Добавление и удаление оснасток нажмите кнопку ОК, чтобы добавить оснастку «Сертификаты» в MMC. In the Add or Remove Snap-ins dialog, select OK to add the certificates snap-in to MMC.

В окне MMC разверните узел Корень консоли. In the MMC window, expand Console Root. Щелкните Сертификаты (локальный компьютер) , затем последовательно разверните узлы Личное и Сертификаты. Select Certificates (Local Computer), then expand the Personal node, followed by the Certificates node.

Здесь вы увидите самозаверяющий сертификат, созданный на предыдущем шаге, например aaddscontoso.com. The self-signed certificate created in the previous step is shown, such as aaddscontoso.com. Щелкните этот сертификат правой кнопкой мыши и выберите Все задачи > Экспорт. Right-select this certificate, then choose All Tasks > Export.

В мастере экспорта сертификатов щелкните Далее. In the Certificate Export Wizard, select Next.

Необходимо экспортировать закрытый ключ для сертификата. The private key for the certificate must be exported. Включение защищенного протокола LDAP для управляемого домена завершится ошибкой, если экспортируемый сертификат не содержит закрытого ключа. If the private key is not included in the exported certificate, the action to enable secure LDAP for your managed domain fails.

На странице Экспорт закрытого ключа выберите Да, экспортировать закрытый ключ и щелкните Далее. On the Export Private Key page, choose Yes, export the private key, then select Next.

Управляемые домены поддерживают для файла сертификата только формат PFX, который содержит закрытый ключ. Managed domains only support the .PFX certificate file format that includes the private key. Не экспортируйте сертификат в формате CER-файла, который не содержит закрытого ключа. Don’t export the certificate as .CER certificate file format without the private key.

На странице Формат экспортируемого файла для экспортируемого сертификата установите переключатель в положение Файл обмена личной информацией — PKCS #12 (.PFX) . On the Export File Format page, select Personal Information Exchange — PKCS #12 (.PFX) as the file format for the exported certificate. Установите флажок Включить, по возможности, все сертификаты в путь сертификации: Check the box for Include all certificates in the certification path if possible:

Так как этот сертификат используется для шифровки данных, необходимо тщательно контролировать доступ к нему. As this certificate is used to decrypt data, you should carefully control access. Для защиты закрытого ключа сертификата можно использовать пароль. A password can be used to protect the use of the certificate. Без правильного пароля сертификат не удастся применить к службе. Without the correct password, the certificate can’t be applied to a service.

На странице Безопасность выберите вариант Пароль для защиты PFX-файла сертификата. On the Security page, choose the option for Password to protect the .PFX certificate file. Для шифрования необходимо использовать алгоритм TripleDES-SHA1. The encryption algorithm must be TripleDES-SHA1. Введите и подтвердите пароль, а затем щелкните Далее. Enter and confirm a password, then select Next. Этот пароль вы примените при работе со следующим разделом, чтобы включить защищенный протокол LDAP для управляемого домена. This password is used in the next section to enable secure LDAP for your managed domain.

На странице Файл для экспорта укажите имя и расположение файла, в который вы будете экспортировать сертификат, например C:\Users\accountname\azure-ad-ds.pfx. On the File to Export page, specify the file name and location where you’d like to export the certificate, such as C:\Users\accountname\azure-ad-ds.pfx. Запомните пароль и расположение PFX-файла, так как эти сведения потребуются при дальнейшей работе. Keep a note of the password and location of the .PFX file as this information would be required in next steps.

На следующей странице щелкните Готово, чтобы экспортировать сертификат в PFX-файл. On the review page, select Finish to export the certificate to a .PFX certificate file. После успешного экспорта сертификата появится диалоговое окно с подтверждением. A confirmation dialog is displayed when the certificate has been successfully exported.

Не закрывайте окно MMC, которое пригодится нам в следующем разделе. Leave the MMC open for use in the following section.

Экспорт сертификата для клиентских компьютеров Export a certificate for client computers

На клиентских компьютерах необходимо настроить доверие к издателю сертификата для защищенного протокола LDAP, чтобы подключаться к управляемому домену по протоколу LDAPS. Client computers must trust the issuer of the secure LDAP certificate to be able to connect successfully to the managed domain using LDAPS. Клиентским компьютерам требуется сертификат для успешного шифрования данных, которые будут расшифровываться в Azure AD DS. The client computers need a certificate to successfully encrypt data that is decrypted by Azure AD DS. Если вы используете общедоступный ЦС, компьютер будет автоматически доверять издателям сертификатов и иметь соответствующий сертификат. If you use a public CA, the computer should automatically trust these certificate issuers and have a corresponding certificate.

В рамках этого руководства вы используете самозаверяющий сертификат, который создали вместе с закрытым ключом на предыдущем шаге. In this tutorial you use a self-signed certificate, and generated a certificate that includes the private key in the previous step. Теперь нам нужно экспортировать самозаверяющий сертификат и установить его в хранилище доверенных сертификатов на клиентском компьютере. Now let’s export and then install the self-signed certificate into the trusted certificate store on the client computer:

Вернитесь в консоль MMC и откройте хранилище Сертификаты (локальный компьютер) > Личные > Сертификаты. Go back to the MMC for Certificates (Local Computer) > Personal > Certificates store. Здесь вы увидите самозаверяющий сертификат, созданный на предыдущем шаге, например aaddscontoso.com. The self-signed certificate created in a previous step is shown, such as aaddscontoso.com. Щелкните этот сертификат правой кнопкой мыши и выберите Все задачи > Экспорт. Right-select this certificate, then choose All Tasks > Export.

В мастере экспорта сертификатов щелкните Далее. In the Certificate Export Wizard, select Next.

Поскольку для клиентов закрытый ключ не требуется, на странице Экспорт закрытого ключа выберите Нет, не экспортировать закрытый ключ и щелкните Далее. As you don’t need the private key for clients, on the Export Private Key page choose No, do not export the private key, then select Next.

На странице Формат экспортируемого файла для экспортируемого сертификата выберите Файлы X.509 (.CER) в кодировке Base-64. On the Export File Format page, select Base-64 encoded X.509 (.CER) as the file format for the exported certificate:

На странице Файл для экспорта укажите имя и расположение файла, в который вы будете экспортировать сертификат, например C:\Users\accountname\azure-ad-ds-client.cer. On the File to Export page, specify the file name and location where you’d like to export the certificate, such as C:\Users\accountname\azure-ad-ds-client.cer.

На следующей странице щелкните Готово, чтобы экспортировать сертификат в CER-файл. On the review page, select Finish to export the certificate to a .CER certificate file. После успешного экспорта сертификата появится диалоговое окно с подтверждением. A confirmation dialog is displayed when the certificate has been successfully exported.

Теперь сертификат в формате CER-файла можно распространять на клиентские компьютеры, которые должны доверять защищенному подключению LDAP к управляемому домену. The .CER certificate file can now be distributed to client computers that need to trust the secure LDAP connection to the managed domain. Давайте установим сертификат на локальном компьютере. Let’s install the certificate on the local computer.

Откройте проводник и перейдите к расположению, в котором вы сохранили файла сертификата в формате CER, например C:\Users\accountname\azure-ad-ds-client.cer. Open File Explorer and browse to the location where you saved the .CER certificate file, such as C:\Users\accountname\azure-ad-ds-client.cer.

Щелкните CER-файл сертификата правой кнопкой мыши, а затем выберите Установить сертификат. Right-select the .CER certificate file, then choose Install Certificate.

В мастере импорта сертификатов выберите вариант для сохранения сертификата на локальном компьютере, а затем щелкните Далее. In the Certificate Import Wizard, choose to store the certificate in the Local machine, then select Next:

При появлении запроса выберите Да, чтобы разрешить компьютеру вносить изменения. When prompted, choose Yes to allow the computer to make changes.

Выберите Автоматически выбрать хранилище на основе типа сертификата, а затем щелкните Далее. Choose to Automatically select the certificate store based on the type of certificate, then select Next.

На следующей странице щелкните Готово, чтобы импортировать CER-файл сертификата. On the review page, select Finish to import the .CER certificate. После успешного импорта сертификата появится диалоговое окно с подтверждением. file A confirmation dialog is displayed when the certificate has been successfully imported.

Включение защищенного протокола LDAP для доменных служб Azure AD DS. Enable secure LDAP for Azure AD DS

Итак, вы завершили создание и экспорт цифрового сертификата, который содержит закрытый ключ, и настроили доверие к подключению на клиентском компьютере. Теперь можно включить защищенный протокол LDAP в управляемом домене. With a digital certificate created and exported that includes the private key, and the client computer set to trust the connection, now enable secure LDAP on your managed domain. Чтобы включить защищенный протокол LDAP для управляемого домена, сделайте следующее. To enable secure LDAP on a managed domain, perform the following configuration steps:

На портале Azure введите доменные службы в поле Поиск ресурсов. In the Azure portal, enter domain services in the Search resources box. В списке результатов выберите Доменные службы Azure AD. Select Azure AD Domain Services from the search result.

Выберите нужный управляемый домен, например aaddscontoso.com Choose your managed domain, such as aaddscontoso.com.

В левой части окна Azure AD DS выберите Защищенный протокол LDAP. On the left-hand side of the Azure AD DS window, choose Secure LDAP.

По умолчанию защищенный доступ LDAP к управляемому домену отключен. By default, secure LDAP access to your managed domain is disabled. Измените значение параметра Защищенный протокол LDAP на Включено. Toggle Secure LDAP to Enable.

По умолчанию доступ к управляемому домену через Интернет по защищенному протоколу LDAP отключен. Secure LDAP access to your managed domain over the internet is disabled by default. Включая доступ по защищенному протоколу LDAP через Интернет, вы сделаете домен уязвимым к атакам из Интернета методом подбора пароля. When you enable public secure LDAP access, your domain is susceptible to password brute force attacks over the internet. На следующем шаге мы настроим группу безопасности сети, чтобы ограничить доступ только из определенного диапазона IP-адресов. In the next step, a network security group is configured to lock down access to only the required source IP address ranges.

Переведите переключатель Разрешить доступ по защищенному протоколу LDAP через Интернет в положение Включено. Toggle Allow secure LDAP access over the internet to Enable.

Щелкните значок папки рядом с полем PFX-файл с сертификатом защищенного протокола LDAP. Select the folder icon next to .PFX file with secure LDAP certificate. Перейдите в папку, где расположен PFX-файл, а затем выберите созданный на предыдущем шаге сертификат, который содержит закрытый ключ. Browse to the path of the .PFX file, then select the certificate created in a previous step that includes the private key.

Как отмечалось в предыдущем разделе о требованиях к сертификатам, вы не можете использовать сертификат общедоступного ЦС с доменом .onmicrosoft.com, который настроен по умолчанию. As noted in the previous section on certificate requirements, you can’t use a certificate from a public CA with the default .onmicrosoft.com domain. Домен .onmicrosoft.com принадлежит корпорации Майкрософт, поэтому общедоступный ЦС не будет выдавать для него сертификаты. Microsoft owns the .onmicrosoft.com domain, so a public CA won’t issue a certificate.

Убедитесь, что сертификат имеет правильный формат. Make sure your certificate is in the appropriate format. В противном случае платформа Azure выдаст ошибку проверки сертификата при включении защищенного протокола LDAP. If it’s not, the Azure platform generates certificate validation errors when you enable secure LDAP.

Введите пароль для расшифровки PFX-файла, который вы настроили на предыдущем шаге при экспорте сертификата в PFX-файл. Enter the Password to decrypt .PFX file set in a previous step when the certificate was exported to a .PFX file.

Щелкните Сохранить, чтобы включить защищенный протокол LDAP. Select Save to enable secure LDAP.

Появится уведомление о том, что выполняется настройка защищенного протокола LDAP для управляемого домена. A notification is displayed that secure LDAP is being configured for the managed domain. Вы не сможете изменить другие параметры управляемого домена, пока не завершится эта операция. You can’t modify other settings for the managed domain until this operation is complete.

Включение защищенного протокола LDAP для управляемого домена займет несколько минут. It takes a few minutes to enable secure LDAP for your managed domain. Если предоставленный сертификат защищенного протокола LDAP не соответствует требуемому критерию, действие по включению защищенного протокола LDAP для управляемого домена завершается сбоем. If the secure LDAP certificate you provide doesn’t match the required criteria, the action to enable secure LDAP for the managed domain fails.

Типичные примеры ошибок: указано неправильное доменное имя, для шифрования сертификата используется алгоритм, отличный от TripleDES-SHA1, срок действия сертификата истек или истекает в ближайшее время. Some common reasons for failure are if the domain name is incorrect, the encryption algorithm for the certificate isn’t TripleDES-SHA1, or the certificate expires soon or has already expired. Вы можете повторно создать сертификат с правильными параметрами и включить защищенный протокол LDAP с указанием обновленного сертификата. You can re-create the certificate with valid parameters, then enable secure LDAP using this updated certificate.

Блокировка доступа по защищенному протокол LDAP через Интернет Lock down secure LDAP access over the internet

Предоставление доступа к управляемому домену по защищенному протоколу LDAP через Интернет создает угрозу безопасности. When you enable secure LDAP access over the internet to your managed domain, it creates a security threat. Управляемый домен доступен из Интернета через порт 636. The managed domain is reachable from the internet on TCP port 636. Мы рекомендуем ограничить доступ к управляемому домену только из определенных IP-адресов, имеющих отношение к конкретной среде. It’s recommended to restrict access to the managed domain to specific known IP addresses for your environment. Для ограничения доступа по защищенному протоколу LDAP можно использовать правило группы безопасности сети Azure. An Azure network security group rule can be used to limit access to secure LDAP.

Давайте создадим правило, которое разрешит входящий доступ по защищенному протоколу LDAP через TCP-порт 636 только для указанного набора IP-адресов. Let’s create a rule to allow inbound secure LDAP access over TCP port 636 from a specified set of IP addresses. Правило DenyAll с низким приоритетом по умолчанию применяется ко всему остальному входящему трафику из Интернета, а значит доступ к управляемому домену по защищенному протоколу LDAP можно будет получить только с указанных адресов. A default DenyAll rule with a lower priority applies to all other inbound traffic from the internet, so only the specified addresses can reach your managed domain using secure LDAP.

На портале Azure выберите Группы ресурсов в панели навигации слева. In the Azure portal, select Resource groups on the left-hand side navigation.

Выберите группу ресурсов, например myResourceGroup, а затем выберите группу безопасности сети, например aaads-nsg. Choose your resource group, such as myResourceGroup, then select your network security group, such as aaads-nsg.

Отобразится список существующих правил безопасности для входящих и исходящих подключений. The list of existing inbound and outbound security rules are displayed. В левой части окна свойств для группы безопасности сети выберите Параметры > Правила безопасности для входящего трафика. On the left-hand side of the network security group windows, choose Settings > Inbound security rules.

Щелкните Добавить и создайте правило, открывающее TCP-порт 636. Select Add, then create a rule to allow TCP port 636. Для повышения безопасности выберите IP-адреса в качестве источника и укажите допустимый IP-адрес или диапазон адресов, принадлежащих вашей организации. For improved security, choose the source as IP Addresses and then specify your own valid IP address or range for your organization.

Параметр Setting Значение Value
Источник Source IP-адреса IP Addresses
IP-адреса источника или диапазоны в нотации CIDR Source IP addresses / CIDR ranges Допустимый IP-адрес или диапазон для вашей среды A valid IP address or range for your environment
Диапазоны исходных портов Source port ranges *
Назначение Destination Любой Any
Диапазоны портов назначения Destination port ranges 636 636
Протокол Protocol TCP TCP
Действие Action Allow Allow
Приоритет Priority 401 401
Имя Name AllowLDAPS AllowLDAPS

Когда все будет готово, щелкните Добавить, чтобы сохранить и применить это правило. When ready, select Add to save and apply the rule.

Настройка зоны DNS для внешнего доступа Configure DNS zone for external access

Разрешив доступ через Интернет по защищенному протоколу LDAP, измените параметры зоны DNS, чтобы клиентские компьютеры могли найти этот управляемый домен. With secure LDAP access enabled over the internet, update the DNS zone so that client computers can find this managed domain. Внешний IP-адрес защищенного протокола LDAP указан на вкладке Свойства для управляемого домена. The Secure LDAP external IP address is listed on the Properties tab for your managed domain:

В настройках внешнего поставщика DNS создайте запись, разрешающую имя узла (например, ldaps), в этот внешний IP-адрес. Configure your external DNS provider to create a host record, such as ldaps, to resolve to this external IP address. Чтобы проверить работу на локальном компьютере, вы можете сначала создать такую запись в файле hosts системы Windows. To test locally on your machine first, you can create an entry in the Windows hosts file. Чтобы изменить файл hosts на локальном компьютере, откройте Блокнот от имени администратора и откройте файл C:\Windows\System32\drivers\etc\hosts. To successfully edit the hosts file on your local machine, open Notepad as an administrator, then open the file C:\Windows\System32\drivers\etc\hosts

В следующем примере представлена DNS-запись, созданная во внешнем поставщике DNS или в локальном файле hosts, которая направляет трафик для ldaps.aaddscontoso.com к внешнему IP-адресу 168.62.205.103: The following example DNS entry, either with your external DNS provider or in the local hosts file, resolves traffic for ldaps.aaddscontoso.com to the external IP address of 168.62.205.103:

Проверка запросов к управляемому домену Test queries to the managed domain

Чтобы подключиться к управляемому домену, создать привязку к нему и выполнить поиск по протоколу LDAP, используйте средство LDP.exe. To connect and bind to your managed domain and search over LDAP, you use the LDP.exe tool. Оно входит в пакет средств удаленного администрирования сервера (RSAT). This tool is included in the Remote Server Administration Tools (RSAT) package. Дополнительные сведения см. в статье об установке средств удаленного администрирования сервера. For more information, see install Remote Server Administration Tools.

  1. Откройте LDP.exe и подключитесь к управляемому домену. Open LDP.exe and connect to the managed domain. Выберите Подключение и щелкните Подключить. . Select Connection, then choose Connect. .
  2. Введите имя DNS для подключения к управляемому домену по защищенному протоколу LDAP, которое вы создали на предыдущем шаге, например ldaps.aaddscontoso.com Enter the secure LDAP DNS domain name of your managed domain created in the previous step, such as ldaps.aaddscontoso.com. Чтобы использовать защищенный протокол LDAP, укажите для параметра Порт значение 636, а также установите флажок SSL. To use secure LDAP, set Port to 636, then check the box for SSL.
  3. Щелкните ОК, чтобы подключиться к управляемому домену. Select OK to connect to the managed domain.

Затем выполните привязку к управляемому домену. Next, bind to your managed domain. Пользователи (и учетные записи служб) не могут выполнять простые привязки LDAP, если вы отключили синхронизацию хэшей паролей NTLM для управляемого домена. Users (and service accounts) can’t perform LDAP simple binds if you have disabled NTLM password hash synchronization on your managed domain. См. сведения об отключении синхронизации хэшей паролей NTLM в статье Отключение слабых шифров и синхронизации хэшей паролей для защиты управляемого домена доменных служб Azure AD. For more information on disabling NTLM password hash synchronization, see Secure your managed domain.

  1. Выберите пункт меню Подключение, а затем Привязать. . Select the Connection menu option, then choose Bind. .
  2. Укажите учетные данные учетной записи пользователя, которая относится к управляемому домену. Provide the credentials of a user account that belongs to the managed domain. Введите пароль для этой учетной записи и нужный домен, например aaddscontoso.com. Enter the user account’s password, then enter your domain, such as aaddscontoso.com.
  3. Для параметра Тип привязки выберите вариант Привязать с учетными данными. For Bind type, choose the option for Bind with credentials.
  4. Щелкните ОК, чтобы завершить привязку к управляемому домену. Select OK to bind to your managed domain.

Чтобы просмотреть объекты, сохраненные в управляемом домене, сделайте следующее: To see of the objects stored in your managed domain:

Выберите пункт меню Представление и щелкните Дерево. Select the View menu option, and then choose Tree.

Оставьте поле BaseDN пустым и щелкните . Leave the BaseDN field blank, then select OK.

Выберите контейнер, например Пользователи AADDC, щелкните его правой кнопкой мыши и выберите пункт Поиск. Choose a container, such as AADDC Users, then right-select the container and choose Search.

Сохраните все автоматически заполненные значения и щелкните Запуск. Leave the pre-populated fields set, then select Run. Результаты запроса отображаются в окне справа, как показано в следующем примере выходных данных: The results of the query are displayed in the right-hand window, as shown in the following example output:

Чтобы выполнить прямой запрос к конкретному контейнеру, выберите пункт меню Представление > Дерево, затем укажите значение BaseDN, например OU=AADDC Users,DC=AADDSCONTOSO,DC=COM или OU=AADDC Computers,DC=AADDSCONTOSO,DC=COM. To directly query a specific container, from the View > Tree menu, you can specify a BaseDN such as OU=AADDC Users,DC=AADDSCONTOSO,DC=COM or OU=AADDC Computers,DC=AADDSCONTOSO,DC=COM. Дополнительные сведения о форматировании и создании запросов см. в статье с основными сведениями о запросах LDAP. For more information on how to format and create queries, see LDAP query basics.

Очистка ресурсов Clean up resources

Если ранее в рамках этого руководства вы добавляли запись DNS в файл hosts на локальном компьютере для проверки подключения, удалите эту запись и добавьте запись в основную зону DNS. If you added a DNS entry to the local hosts file of your computer to test connectivity for this tutorial, remove this entry and add a formal record in your DNS zone. Чтобы удалить запись из локального файла hosts, сделайте следующее: To remove the entry from the local hosts file, complete the following steps:

  1. На локальном компьютере откройте Блокнот с правами администратора. On your local machine, open Notepad as an administrator
  2. Откройте файл из папки C:\Windows\System32\drivers\etc\hosts. Browse to and open the file C:\Windows\System32\drivers\etc\hosts
  3. Удалите строку с записью, которую вы добавили ранее, например 168.62.205.103 ldaps.aaddscontoso.com . Delete the line for the record you added, such as 168.62.205.103 ldaps.aaddscontoso.com

Дальнейшие действия Next steps

В этом руководстве вы узнали, как выполнять следующие задачи: In this tutorial, you learned how to:

Источник

Читайте также:  Антирадар нужны к ним настройки
Adblock
detector