Как включить SSL для LDAP в Active Directory Windows 2003 | Windows для системных администраторов

Как включить SSL для LDAP в Active Directory Windows 2003

Введение


Как вы знаете, службы Windows 2003 ADS (Active Directory Service) основаны на стандартах LDAP. В процессе нормальной работы AD, пользователи могут использовать и создавать различные запросы к каталогу LDAP с целью аутентификации или получения некой информации. По умолчанию такие запросы передаются в незашифрованном виде, и в процессе прохождения по сети, могут быть перехвачены потенциальным злоумышленником. Чтобы исправить этот недостаток, мы можем включить функцию LDAP через SSL, поместив все запросы LDAP в шифрованный канал.

Эта статья предназначена для администраторов Active Directory, которые хотят активировать SSL для LDAP (Я уже писал про использование SSL при работе со снимками AD). В этой статье я расскажу о том, как задействовать такую возможность в вашей инфраструктуре В качестве примера, я буду использовать домен » mytest.domain.com» с  одним  контроллером домена «mypdc».

Внимание! Будьте осторожны, когда вносите изменения в ADS. Все важные изменения сначала проверяйте в тестовой среде.

Шаг 1. Установите IIS на контроллере домена Windows

Если на вашем контроллере домена еще не установлен сервер IIS, вам необходимо установить его, так как этот компонент необходим. Итак, как установить IIS 6, который поставляется вместе с Windows 2003 Server.

1. Нажмите кнопку Пуск -> Панель управления -> Add Remove Programs

2. Выберите пункт «Добавит/удалить компоненты» -> отметьте флажком Application Server. После чего нажмите далее, для запуска процедуры установки.

Установка Application Server

Шаг 2. Установите службы сертификации (Certifcate Authority Service)на контроллере домена

1. Щелкните кнопку Пуск -> Панель управления -> Add Remove Programs

2. Выберите Add / Remove Windows Components -> щелкните по  Certificate Services
3. Нажмите кнопку Details

Установка Certifcate Authority Service

4. Выберите Certificate Services CA. На появившееся предупреждение «After installing Certificate Services, the machine name and domain…..» ответьте «Да».

Certificate Services CA

5. Далее запустится мастер первоначальной настройки служб сертификации. В нашем случае мы будем использовать Enterprise root CA. Нажмите кнопку «Далее».

Выбор Enterprise root CA

6. Введите имя центра сертификации. Я, например, буду использовать имя «myroot». Нажмите «Далее».

Имя центра сертификации

7. Выберите место расположения базы данных сертификатов, в которой будет храниться все информация о выданных сертификатах. Я оставил все по умолчанию. Нажмите кнопку «Далее». На любые вопросы об остановке IIS отвечайте согласием.

Местоположение базы данных сертификатов

8. В результате запуститься установка CAS.  В процессе установки вас спросят, нужно ли включить службы ASP для активации возможности web-регистраций в службе сертификатов. Я отказался, так как эта возможность не нужна в моем примере. Нажмите кнопку «Готово».

Тестирование утилитой  ldp

Тестировать соединение с ADS по протоколу LDAP мы будем при помощи утилиты ldp.exe. Она входит в набор утилит Support Pack для Windows 2003.

Введите полное доменное имя (FQDN) контроллера домена, если вы попробуете соединиться по ip адресу, у вас будут появляться различные ошибки сертификата, и соединение сбросится.  Измените  номер порта на 636 и установите флажок SSL.

Утилита ldp.exe

Если все установлено и работает нормально, вы увидеть примерно такой экран.

Тестирование LDAP через SSL

Еще записи по теме: Active Directory
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.24MB/0.00179 sec