Usando SSL para criptografar consultas LDAP - Windows 2008 R2

Navegue suas respostas
1

Estou tentando proteger nosso domínio para que, quando as consultas LDAP forem feitas em outro computador, elas sejam criptografadas com SSL.

Eu segui este guia , mesmo achando que estava usando o Windows 2008 R2.

Eu adicionei a função Serviços de certificados do Active Directory com configurações padrão, verifiquei se era a CA raiz corporativa (como o guia sugere)

Eu faço login em um computador com Windows 7 (todos os firewalls estão desativados) e usando o aplicativo JXplorer baseado em Java (há algo melhor?) fazendo alguma consulta LDAP (ou tentando, pelo menos), o problema é que não posso parece se conectar ao servidor usando qualquer coisa, mas GSSAPI (nem sei o que é isso), tentei outras opções, mas não conecta.

O guia não menciona nada além de instalar a CA no servidor, estou perguntando se há outras configurações que precisam ser executadas para forçar o SSL para consultas LDAP.

Muito obrigado.

    
por ToastMan 27.07.2012 / 00:08

1 resposta

1

Você nunca diz que está executando o Active Directory no 2008 R2, mas vou assumir que é o caso.

Primeiro, você não precisa instalar os Serviços de certificados no seu controlador de domínio nem torná-lo uma Autoridade de certificação. Seu controlador de domínio precisa apenas de um único certificado SSL "válido" atribuído a ele e que seu cliente LDAP "confie".

Existem várias maneiras de obter um certificado para o seu DC. Instalar uma Autoridade de Certificação (como Serviços de Certificados do AD) e usá-la para gerar seu certificado de "controlador de domínio" é uma maneira, mas não a única. E geralmente é considerado imprudente tornar seu controlador de domínio a autoridade de certificação. Coloque-o em uma máquina dedicada, em vez disso.

Você também pode obter um certificado de uma CA de terceiros como faria em um servidor da Web. É um pouco mais complicado porque um certificado de controlador de domínio tem atributos diferentes que ele precisa para ser "válido". Aqui está um link da Microsoft sobre o assunto: Como ativar o LDAP sobre SSL com uma autoridade de certificação de terceiros

Requirements for an LDAPS certificate

To enable LDAPS, you must install a certificate that meets the following requirements:

  • The LDAPS certificate is located in the Local Computer's Personal certificate store (programmatically known as the computer's MY certificate store).
  • A private key that matches the certificate is present in the Local Computer's store and is correctly associated with the certificate. The private key must not have strong private key protection enabled.
  • The Enhanced Key Usage extension includes the Server Authentication (1.3.6.1.5.5.7.3.1) object identifier (also known as OID).
  • The Active Directory fully qualified domain name of the domain controller (for example, DC01.DOMAIN.COM) must appear in one of the following places:
    • The Common Name (CN) in the Subject field.
    • DNS entry in the Subject Alternative Name extension.
  • The certificate was issued by a CA that the domain controller and the LDAPS clients trust. Trust is established by configuring the clients and the server to trust the root CA to which the issuing CA chains.
  • You must use the Schannel cryptographic service provider (CSP) to generate the key.

Uma vez que você tenha seu certificado instalado e funcionando no DC, você poderá apontar seu cliente LDAP para a porta 636 ou 3269 (para conexão com o GC) e pronto.

    
por 27.07.2012 / 01:15

Tags

O que faria com que as variáveis do PHP fossem reescritas pelo servidor? 451 Temporary local - PHP Mailer