Conta de serviço do AD LDS como administrador local para permitir conexão SSL?

3

Estou instalando o AD LDS (Active Directory Lightweight Directory Services) em um Windows 2012 vm. Depois de finalmente obter a configuração do diretório e da sincronização, agora estou correndo para um problema interessante. Eu pesquisei on-line por horas e eu poderia usar alguns conselhos de especialistas.

Quando eu uso a conta "Serviço de Rede" como a conta de serviço para minha instância do LDS, não consigo iniciar uma conexão na porta SSL (que deixei como o padrão de 636). Podemos fazer conexões com a porta não SSL de 389. O mesmo ocorre para a conta de serviço de domínio "ADLDSSRVC".

Quando uso minhas credenciais de domínio pessoal como a conta de serviço, podemos usar conexões não SSL na porta não SSL e nas conexões SSL na porta SSL. Na conexão SSL, podemos nos vincular ao LDS usando as contas do AD DS por meio do redirecionamento de ligação de proxy. Minha conta de domínio tem direitos de administrador local no host.

Preciso tornar a conta de serviço de domínio "ADLDSSRVC" um administrador local? Meu chefe quer fazer isso apenas como último recurso, se eu não puder dar apenas as permissões que preciso. Mais especificamente, gostaria de saber, se for possível, quais permissões a conta de serviço precisa para que eu possa estabelecer conexões SSL de ldap com a minha instância do AD LDS. Um artigo Technet indica que o ADLDS A conta de serviço precisa criar, ler e modificar o acesso a% ProgramFiles% \ Microsoft ADAM \ nome_da_instância \ data, mas isso não parece fazer diferença para abrir a porta 636.

Blog.uvm.edu diz para fazer o Segue: Abra a ferramenta Usuários e Computadores do AD, localize o objeto do computador no qual você instalou a Instância. Dê à conta de serviço LDS "criar todos os objetos filho" para o objeto de computador. Eu não sou um administrador de domínio, então não posso fazer isso. Isso é basicamente o mesmo que fazer da conta de serviço um administrador local?

    
por bgStack15 24.04.2014 / 15:34

3 respostas

1

Aproveitando a resposta de Ryan Ries, eis como resolvi o problema sem tornar "domain \ adldssrvc" uma conta de administrador:

Conceder permissões de conta de serviço a certificados de computador local

Abra o repositório de certificados executando mmc e adicionando o snap-in de certificado para o computador local.

CliquecomobotãodireitodomousenocertificadoemCertificates(LocalComputer)\Personal\Certificates\eselecioneAllTasks\ManagePrivateKeys.

Isso exibe uma tela de permissões de aparência normal. Basta adicionar o usuário apropriado e dar controle total sobre essas chaves privadas.

Lembre-se de redefinir o serviço LDS depois de fazer essa alteração! (services.msc)

    
por 24.04.2014 / 17:46
3

Isso soa como um caso de o serviço AD LDS não conseguir acessar o certificado necessário para configurar LDAPS, quando você define o AD LDS para usar uma conta de serviço que não tenha permissões para usar o computador local \ Armazenamento de certificados pessoais.

De um KB da Microsoft :

For AD LDS, put certificates into the Personal certificate store for the service that corresponds to the AD LDS instance instead of for the NTDS service.

Portanto, use o MMC e adicione o snap-in de certificados. Escolha "Conta de serviço" como o repositório de certificados para exibir e escolher o serviço do AD LDS instalado nesse computador. Seu certificado SSL precisa ser instalado lá.

    
por 24.04.2014 / 16:15
0

Por favor, consulte este post

link

Fiz a configuração da CA corporativa primeiro e, depois, usei a orientação nesta página

link

na seguinte ordem

  1. Publicando um certificado que suporte a autenticação do servidor

    No ponto 5 deste passo que é

    "5. Na caixa de diálogo Modelo Duplicado, deixe o Windows Server 2003 Enterprise selecionado selecionado e clique em OK."

    Selecione cuidadosamente seu sistema operacional relevante, o tutorial dizendo "deixe-o padrão", mas eu estava usando o Windows Server 2012 r2, então escolho o que eu estava usando. Escolha seu sistema operacional relevante.

  2. Exportando o certificado LDAPS e importando para uso com o AD DS

  3. Verificando uma conexão LDAPS

Por que preciso de uma conexão ADLDS por SSL?

Como desejo que o usuário altere sua senha ADLDS, a conexão não SSL usando PrincipalContext não me permitiu fazer isso. Então, agora eu estou usando o seguinte código, com a ajuda e graça de Allah Allhumdullilah está funcionando como um encanto.

PrincipalContext pc = new PrincipalContext(
                    ContextType.ApplicationDirectory,
                    "YourServerUrl:YourSSLPort",
                    "CN=YourPartitionName,DC=partition,DC=com",
                    ContextOptions.SimpleBind | ContextOptions.SecureSocketLayer,
                    "FullDistinguisedNameOfUser",
                    "PasswordOfUser");

bool IsUserValidated = pc.ValidateCredentials(
                    "FullDistinguisedNameOfUser",
                    "PasswordOfUser",
                    ContextOptions.SimpleBind | ContextOptions.SecureSocketLayer);


            if (IsUserValidated)
            {
                UserPrincipal up = UserPrincipal.FindByIdentity(
                "FullDistinguisedNameOfUser", 
                "PasswordOfUser");

                up.ChangePassword("UserOldPassword", "UserNewPassword");
            }
    
por 06.04.2016 / 08:42