Включение LDAPS на контроллере домена под управлением Windows Server 2008 R2
Исходные данные:
- организация, использующая в качестве базы данных сотрудников Microsoft Active Directory, базирующуюся на Windows Server 2008 R2 контроллере домена;
- написанная на php информационная система, поддерживающую протокол LDAP для взаимодействия с MS AD (например, Moodle).
Проблема: при соединении с AD по протоколу LDAP (порт 389) не работает функция php для смены пароля пользователю AD. Решением является переход на SSL-версию протокола — LDAPS (порт 636). На поиск способа включить поддержку LDAPS на контроллере домена было потрачено приличное количество времени, сэкономить которое может помочь данная статья.
Шаг 1, установка служб сертификатов на контроллер домена.
Заходим в панель управления сервером (Start — Administrative Tools — Server Manager). Add Roles — Active Directory Certificate Services — Next — Next — отмечаем Certification Authority Web Enrollment (Add Required Role Services) — Next — Enterprise — Next — Root CA — далее Next до конца.
Шаг 2, запрос на сертификат.
Создаём файл request.inf с текстом:
[Version]
Signature= «$Windows NT$»
KeySpec = 1
KeyLength = 1024
Exportable = TRUE
MachineKeySet = TRUE
SMIME = FALSE
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = «Microsoft RSA SChannel Cryptographic Provider»
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0 [EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2 [Extensions]
2.5.29.17=MDiCFURDNC5sb3JlLnVuaS1kdWJuYS5ydaAfBgkrBgEEAYI3GQGgEgQQhePOUDQ+
_continue_=7Uy5GtDgYOzldA==
Critical=2.5.29.17
Затем выполняем
certreq -new request.inf request.req
Шаг 3, получение сертификата у CA.
Вот тут самое интересное. Если попробовать разместить запрос на сертификат штатным способом, т.е. через MMC snap-in «Certification Authority» или командой
certreq -attrib «CertificateTemplate:DomainController» request.req , получаем ошибку «The DNS name is unavailable and cannot be added to the Subject Alternate name. 0x8009480f», которую обойти никаким способом так и не удалось. Зато сработала выдача сертификата через веб.
Заходим на localhost/certsrv/certrqxt.asp и вставляем в первое поле код из файла request.req; в поле Certificate Template выбираем Web Server. Скачиваем получившийся сертификат по ссылке Download certificate.
Шаг 4, импорт сертификата.
Winkey+R — mmc; нажимаем Ctrl+M, Certificates — Add — Computer Account — Next — Local Computer — Finish — OK. Certificates (local computer) — Personal — Certificates (правой кнопкой) — All Tasks — Import. Указываем файл, сделанный на шаге 3.
Шаг 5, проверка.
Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.
Активируем LDAP over SSL (LDAPS) в Windows Server 2012 R2
По-умолчанию в Active Directory трафик по протоколу LDAP между контроллерами домена и клиентами не шифруется, т.е. данные по сети передаются в открытом виде. Потенциально это означает, что злоумышленник с помощью снифера пакетов может прочитать эти данные. Для стандартной среды Windows среды это в общем-то не критично, но ограничивает возможности разработчиков сторонних приложений, которые используют LDAP.
Так, например, операция смены пароля должна обязательно осуществляться через безопасный канал (например Kerberos или SSL/TLS). Это означает, что например, с помощью функции-php, обеспечивающей работу с AD по протоколу LDAP изменить пароль пользователя в домене не удастся.
Защитить данные, передаваемых по протоколу LDAP между клиентом и контроллером домена можно с помощью SSL версии протокола LDAP – LDAPS, который работает по порту 636 (LDAP «живет» на порту 389). Для этого на контроллере домена необходимо установить специальный SSL сертификат. Сертификат может быть как сторонним, выданным 3-ей стороной (например, Verisign), самоподписанным или выданным корпоративным центром сертификации.
В этой статье мы покажем, как с помощью установки сертификата задействовать LDAPS (LDAP over Secure Sockets Layer) на котроллере домена под управление Windows Server 2012 R2. При наличии требуемого сертификата служба LDAP на контроллере домена может устанавливать SSL соединения для передачи трафика LDAP и трафика сервера глобального каталога (GC).
Отметим, что LDAPS преимущественно используется сторонними приложениями (имеются в виде не-Microsoft клиенты) в целях защиты передаваемых по сети данных (обеспечить невозможности перехвата имена и паролей пользователей и других приватных данных).
Предположим, в вашей инфраструктуре уже развернут корпоративный удостоверяющий сервер Certification Authority (CA). Это может быть как полноценная инфраструктура PKI, так и отдельной-стоящий сервер с ролью Certification Authority.
На севере с ролью Certification Authority запустите консоль Certification Authority Management Console, выберите раздел шаблонов сертификатов (Certificate Templates ) и в контекстном меню выберите Manage. 
Найдите шаблон Kerberos Authentication certificate и создайте его копию, выбрав в меню Duplicate Template. 
На вкладке General переименуйте шаблон сертификата в LDAPoverSSL, укажите период его действия и опубликуйте его в AD (Publish certificate in Active Directory). 
На вкладке Request Handling поставьте чекбокс у пункта Allow private key to be exported и сохраните шаблон.
На базе созданного шаблона, опубликуем новый тип сертификата. Для этого, в контекстном меню раздела Certificate Templates выберем пункт New -> Certificate Template to issue.
Из списка доступных шаблонов выберите LDAPoverSSL и нажмите OK.
На контроллере домена, для которого планируется задействовать LDAPS, откройте оснастку управления сертификатами и в хранилище сертификатов Personal запросим новый сертификат (All Tasks -> Request New Certificate).
В списке доступных сертификатов выберите сертификат LDAPoverSSL и нажмите Enroll (выпустить сертификат).
Следующее требование – необходимо, чтобы контроллер домена и клиенты, которые будут взаимодействовать через LDAPS доверяли удостоверяющему центру (CA), который выдал сертификат для контроллера домена.
Если это еще не сделано, экспортируем корневой сертификат удостоверяющего центра в файл, выполнив на сервере с ролью Certification Authority команду:
certutil -ca.cert ca_name.cer 
А затем добавьте экспортированный сертификат в контейнере сертификатов Trusted Root Certification Authorities хранилища сертификатов на клиенте и контроллере домена. Сделать это можно через вручную через оснастку управления сертификатами, через GPO или из командной строки (подробнее здесь).
certmgr.exe -add C:\ca_name.cer -s -r localMachine ROOT
Необходимо перезапустить службы Active Directory на контроллере домена, либо целиком перезагрузить DC.
Осталось протестировать работу по LDAPS. Для этого на клиенте запустим утилиту ldp.exe и в меню выбираем Connection-> Connect->Укажите полное (FQDN) имя контроллера домена, выберите порт 636 и отметьте SSL -> OK. Если все сделано правильно, подключение должно установиться.
Как установить сервер OpenLDAP для централизованной аутентификации?
Как установить сервер OpenLDAP для централизованной аутентификации? Lightweight Directory Access Protocol (короче говоря, LDAP) — это стандартный и широко используемый набор протоколов для доступа к службам каталогов. Служба каталогов — это общая информационная инфраструктура для доступа, управления, организации и обновления повседневных элементов и сетевых ресурсов, таких как пользователи, группы, устройства, адреса электронной почты, номера телефонов, тома и многие другие объекты.
Информационная модель LDAP основана на записях. Запись в каталоге LDAP представляет собой отдельную единицу или информацию и уникально идентифицируется тем, что называется отличительным именем (DN). Каждый из атрибутов записи имеет тип и одно или несколько значений.
Атрибут является частью информации, связанной с записью. Типами обычно являются мнемонические строки, такие как «cn» для общего имени или «mail» для адреса электронной почты. Каждому атрибуту присваивается одно или несколько значений, состоящих из списка через пробел.
Ниже приведена иллюстрация того, как информация размещена в каталоге LDAP.
В этой статье мы покажем, как установить и настроить сервер OpenLDAP для централизованной аутентификации в Ubuntu 16.04/18.04 и CentOS 7.
Шаг 1: Установка сервера LDAP
1. Сначала начните с установки OpenLDAP, реализации LDAP с открытым исходным кодом и некоторых традиционных утилит управления LDAP с помощью следующих команд:
В Ubuntu во время установки пакета вам будет предложено ввести пароль для входа администратора в вашем каталоге LDAP, установите безопасный пароль и подтвердить его:
После завершения установки вы можете запустить службу, как описано далее.
2. В CentOS 7 выполните следующие команды, чтобы запустить демон сервера openldap, включите его для автоматического запуска во время загрузки и проверьте, работает ли он (в Ubuntu служба должна запускаться автоматически в systemd, вы можете просто проверить его статус):
3. Затем разрешите запросы к демону сервера LDAP через брандмауэр, как показано ниже:
Шаг 2. Настройка сервера LDAP
Примечание. Не рекомендуется редактировать конфигурацию LDAP вручную, вам необходимо добавить конфигурации в файл и использовать команду ldapadd или ldapmodify, чтобы загрузить их в каталог LDAP, как показано ниже.
4. Создайте пользователя-администратора OpenLDAP и назначьте пароль для этого пользователя. В приведенной ниже команде для данного пароля создается хэшированное значение, запомните его, вы будете использовать его в файле конфигурации LDAP.
5. Затем создайте файл LDIF (ldaprootpasswd.ldif), который используется для добавления записи в каталог LDAP.
Добавьте следующее содержание:
Объясним пару атрибутов представленных выше:
- olcDatabase: указывает конкретное имя экземпляра базы данных и обычно находится в /etc/openldap/slapd.d/cn=config.
- cn=config: указывает глобальные параметры конфигурации.
- PASSWORD: это хэшированная строка, полученная при создании записи администратора.
6. Затем добавьте соответствующую запись LDAP, указав URI со ссылкой на сервер ldap и файл созданный выше:
Шаг 3. Настройка базы данных LDAP
7. Теперь скопируйте пример файла конфигурации базы данных для slapd в каталог /var/lib/ldap и установите правильные разрешения для файла:
8. Затем импортируйте некоторые базовые схемы LDAP из каталога /etc/openldap/schema следующим образом:
9. Теперь добавьте ваш домен в базу данных LDAP и создайте файл с именем ldapdomain.ldif для вашего домена:
Добавьте в него следующее содержимое (замените пример своим доменом и PASSWORD на хеш-значение, полученное ранее):
10. Затем добавьте указанную выше конфигурацию в базу данных LDAP с помощью следующей команды:
11. На этом этапе нам нужно добавить несколько записей в наш каталог LDAP. Создайте другой файл с именем baseldapdomain.ldif со следующим содержимым:
Сохраните файл и затем добавьте записи в каталог LDAP.
12. Следующим шагом является создание пользователя LDAP, например, sedicomm и установка пароля для этого пользователя следующим образом:
13. Затем создайте определения для группы LDAP в файле с именем ldapgroup.ldif со следующим содержимым:
В приведенной выше конфигурации gidNumber — это GID в /etc/group для sedicomm и добавьте его в каталог OpenLDAP.
14. Затем создайте другой файл LDIF с именем ldapuser.ldif и добавьте определения для пользователя sedicomm:
Затем загрузите конфигурацию в каталог LDAP:
После того, как вы настроили центральный сервер для аутентификации, последняя часть должна позволить клиенту аутентифицироваться с использованием LDAP, как объяснено в этом руководстве:
Для получения дополнительной информации посмотрите соответствующую документацию из каталога документов программного обеспечения OpenLDAP, а пользователи Ubuntu могут обратиться к руководству по серверу OpenLDAP.
OpenLDAP — это реализация LDAP с открытым исходным кодом в Linux. В этой статье мы показали, как установить и настроить сервер OpenLDAP для централизованной аутентификации, в Ubuntu 16.04/18.04 и CentOS 7.
Спасибо за уделенное время на прочтение статьи!
Если возникли вопросы, задавайте их в комментариях.
Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!