Dans ce tutoriel, je vais vous expliquer comment configurer le protocole LDAPS dans un environnement Active Directory avec de sécurisé les connexions vers les contrôleurs de domaine avec une connexion SSL.
Dans les faits comme vous allez le voir dans ce tutoriel, il n’y a pas de configuration au niveau de l’Active Directory, mais qui dit SSL dit certificat, et c’est cela que nous allons voir dans ce tutoriel, comment délivrer un certificat aux contrôleurs de domaine afin de pouvoir répondre au requête LDAPS sur le port 636.
Pour commencer, vous aurez besoin d’un autorité de certification d’entreprise AD CS.
Il est possible d’utiliser des certificats autosignés, je trouve cette options lourde à mettre en place car il faut déployer ensuite le certificat et nous n’avons pas la possibilité de les révoquer.
Sommaire
Configurer le modèle de certificat
La première étape va être de configurer un modèle de certificat pour la liaison LDAPS, pour cela nous allons utiliser le modèle de certificat Authentification Kerberos, car il permet d’avoir dans les noms DNS en plus du nom du serveur qui fait la demande, le nom DNS du domaine, ce qui permet de configurer la liaison LDAPS en utilisant le nom DNS du domaine à la place du nom du contrôleur de domaine.
Commencer par ouvrir la console d’Administration de l’autorité de certification, puis aller sur le dossier Modèles de certificats 1.
Faire un clic droit sur Modèles de certificat et cliquer sur Gérer 1.
Faire un clic droit sur le modèle Authentification Kerberos et cliquer sur Dupliquer le modèle 1.
Sur l’onglet Général, indiquer le nom du modèle 1.
Sur l’onglet Traitement de la demande, cocher la case Autoriser l’exportation de la clé privée 1 si vous pensez avoir d’exporter le certificat avec celle-ci.
Sur l’onglet Nom du sujet, vérifier que l’option sélectionné est Construire à partir de ces informations Active Directory 1 et que Nom DNS 2 est coché.
Ensuite aller sur l’onglet Extensions, sélectionner Stratégie d’application 1 et cliquer sur le bouton Modifier 2.
Sélectionner Authentification KDC 1 et cliquer sur Supprimer 2 et faire de même avec Ouverture de session par carte à puce.
Les stratégies configurées, cliquer sur OK 1 pour fermer la fenêtre.
Cliquer sur maintenant sur Appliquer 1 et OK 2 pour créer le nouveau modèle.
Le modèle LDAPS est créé.
De retour sur la console de gestion de l’Autorité de certification, faire un clic droit sur Modèles de certificats, puis aller sur Nouveau 1 et cliquer sur Modèle de certificat à délivrer 2.
Sélectionner le modèle LDAPS 1 que l’on vient de créer puis cliquer sur OK 2 pour l’ajouter.
Le modèle LDAPS a été ajouté au certificat qui sont délivrés par l’autorité de certification.
Demander le certificat depuis un contrôleur de domaine
Ouvrir la console MMC des Certificat sur l’Ordinateur local (recherche depuis le menu démarré) et aller dans le dossier Personnel / Certificats.
Faire un clic droit dans la zone centrale puis aller sur Toutes les tâches 1 et cliquer sur Demande un nouveau certificat 2.
Au lancement de l’assistant, cliquer sur le bouton Suivant 1.
Sélectionner : Stratégie d’inscription à Active Directory 1 puis cliquer sur le bouton Suivant 2.
Dans la liste des modèle, choisir le modèle LDAPS 1 que l’on a créé puis cliquer sur Inscription 2.
Le certificat a été généré, fermer l’assistant en cliquant sur Terminer 1.
Le certificat est ajouté dans le magasin Personnel de l’ordinateur.
Tester la connexion LDAPS
Pour finir ce tutoriel, on va vérifier la connexion LDAPS à notre contrôleur de domaine, pour cela depuis Windows, on va utiliser ldp.exe. Si vous avez un autre contrôleur de domaine, se connecter dessus, sinon installer les outils d’administration disponible depuis les fonctionnalités de Windows Serveur.
Lancer ldp.exe depuis une fenêtre exécuter.
Depuis le menu, cliquer sur Connection 1 puis sur Connect 2.
Entrer le FQDN 1 du contrôleur de domaine, port saisir 636 2, cocher la case SSL 3 puis cliquer sur le bouton OK 4.
On est connecté au contrôleur de domaine en LDAPS.
Vous savez maintenant comment faire pour utiliser une connexion LDAPS au seins de votre environnement Active Directory en utilisant une autorité de certification ADCS.
Il est possible de générer automatiquement le certificat à l’aide d’une stratégie de groupe si nécessaire.
