Eu apenas tropecei nos meus próprios pés, parece.
Brincando em um servidor Windows 2008 R2 (configurado como controlador de domínio), fiquei intrigado com um determinado evento de aviso (evento ID 2886) que diz:
"Para melhorar a segurança dos servidores de diretório, você pode configurar os AD DS (Serviços de Domínio Active Directory) e AD LDS (Active Directory Lightweight Directory Services) para exigir vínculos LDAP (Lightweight Directory Access Protocol) assinados."
Então eu pensei em usar o Googling e defini as políticas relevantes que impõem a assinatura LDAP. Agora não me lembro, mas posso ter feito isso usando a Política Local.
Agora eu configurei uma caixa pfsense que deve autenticar os usuários do AD via LDAP. Enquanto o firewall pode se comunicar através de um canal seguro, é difícil gerenciar o mesmo para outros pacotes, como o Squid e o SquidGuard. Então, agora eu tenho que desabilitar, ou seja, desfazer essas mudanças de política.
O problema é que eles estão em cinza!
As políticas em questão são assinatura do servidor LDAP e assinatura do cliente LDAP. Não me lembro do que fiz, mas quando acesso essas políticas do editor de política local no servidor, elas são definidas como "Exigir assinatura" e ficam em cinza. As mesmas políticas ainda podem ser definidas por meio da opção Controlador de Domínio Padrão no editor de Política de Grupo.
Então, como posso redefinir essas políticas acinzentadas?
Obrigado
Atualização:
Eu editei o registro:
Localize e clique na seguinte subchave do Registro: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NTDS \ Parameters
Clique com o botão direito do mouse na entrada de registro LDAPServerIntegrity e clique em Modificar. Altere os dados do valor para 1 (era 2) e clique em OK.
O "Controlador de domínio: requisitos de assinatura do servidor LDAP" na política local agora está definido como "nenhum". Anteriormente, o valor era "Exigir assinatura". No entanto, ainda está acinzentado. Por que está esmaecido ... eu não entendo.
A caixa pfsense agora pode autenticar usuários via LDAP ... mas após a reinicialização do sistema, a política foi novamente redefinida para "Requerer assinatura"
Então ... o problema persiste.
Tags ldap windows-server-2008