In diesem Tutorial erkläre ich, wie das LDAPS-Protokoll in einer Umgebung konfiguriert wird. Active Directory mit sicheren Verbindungen zu Domänencontrollern über eine SSL-Verbindung.
In der Praxis, wie Sie in diesem Tutorial sehen werden, gibt es keine Konfiguration auf Active Directory-Ebene, aber wo SSL vorhanden ist, gibt es ein Zertifikat, und genau das werden wir in diesem Tutorial sehen: wie man ein Zertifikat für die Domänencontroller ausstellt, damit diese auf die LDAPS-Anfrage auf Port 636 antworten können.
Zunächst benötigen Sie eine Zertifizierungsstelle für Unternehmen. AD CS.
Es ist zwar möglich, selbstsignierte Zertifikate zu verwenden, aber ich finde diese Option umständlich in der Umsetzung, da das Zertifikat dann bereitgestellt werden muss und wir keine Möglichkeit haben, es zu widerrufen.
Inhaltsverzeichnis
Konfigurieren Sie die Zertifikatvorlage
Der erste Schritt besteht darin, eine Zertifikatvorlage für die LDAPS-Verbindung zu konfigurieren. Hierfür verwenden wir die Kerberos-Authentifizierungszertifikatvorlage, da diese es uns ermöglicht, neben dem Namen des anfragenden Servers auch den DNS-Namen der Domäne in den DNS-Namen anzugeben. Dadurch können wir die LDAPS-Verbindung mithilfe des DNS-Namens der Domäne anstelle des Namens des Domänencontrollers konfigurieren.
Öffnen Sie zunächst die Verwaltungskonsole der Zertifizierungsstelle und navigieren Sie dann zum Ordner „Zertifikatvorlagen“ 1.
Klicken Sie mit der rechten Maustaste auf „Zertifikatvorlagen“ und klicken Sie auf „Verwalten 1“.
Klicken Sie mit der rechten Maustaste auf die Kerberos-Authentifizierungsvorlage und klicken Sie auf Vorlage duplizieren 1.
Geben Sie auf der Registerkarte „Allgemein“ den Modellnamen 1 ein.
Aktivieren Sie auf der Registerkarte „Anforderungsverarbeitung“ das Kontrollkästchen „Export des privaten Schlüssels zulassen 1“, wenn Sie der Meinung sind, dass Sie das Zertifikat mit exportieren müssen.
Überprüfen Sie auf der Registerkarte „Subjektname“, ob die ausgewählte Option „Aus diesen Active Directory-Informationen erstellen“ 1 lautet und ob „DNS-Name“ 2 aktiviert ist.
Wechseln Sie anschließend zur Registerkarte „Erweiterungen“, wählen Sie „Anwendungsrichtlinie 1“ und klicken Sie auf die Schaltfläche „Bearbeiten 2“.
Wählen Sie KDC-Authentifizierung 1 und klicken Sie auf Löschen 2 und wiederholen Sie den Vorgang bei Smartcard-Login.
Nachdem die Strategien konfiguriert sind, klicken Sie auf OK 1, um das Fenster zu schließen.
Klicken Sie jetzt auf Anwenden 1 und OK 2, um die neue Vorlage zu erstellen.
Das LDAPS-Modell wird erstellt.
Zurück in der Verwaltungskonsole der Zertifizierungsstelle klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, dann auf Neu 1 und anschließend auf Auszustellende Zertifikatvorlage 2.
Wählen Sie das soeben erstellte LDAPS-Modell 1 aus und klicken Sie dann auf OK 2, um es hinzuzufügen.
Das LDAPS-Modell wurde in die von der Zertifizierungsstelle ausgestellten Zertifikate aufgenommen.
Fordern Sie das Zertifikat von einem Domänencontroller an.
Öffnen Sie die Zertifikat-MMC-Konsole auf dem lokalen Computer (Suche über das Startmenü) und navigieren Sie zum Ordner „Persönlich / Zertifikate“.
Klicken Sie mit der rechten Maustaste in den mittleren Bereich, gehen Sie dann zu Alle Aufgaben 1 und klicken Sie auf Neues Zertifikat anfordern 2.
Klicken Sie beim Starten des Assistenten auf die Schaltfläche „Weiter“ 1.
Wählen Sie: Active Directory-Registrierungsstrategie 1 und klicken Sie dann auf die Schaltfläche Weiter 2.
Wählen Sie in der Liste der Modelle das von uns erstellte LDAPS-Modell 1 aus und klicken Sie dann auf Registrierung 2.
Das Zertifikat wurde generiert. Schließen Sie den Assistenten, indem Sie auf Fertigstellen 1 klicken.
Das Zertifikat wird dem persönlichen Zertifikatsspeicher des Computers hinzugefügt.
Testen Sie die LDAPS-Verbindung
Zum Abschluss dieses Tutorials überprüfen wir die LDAPS-Verbindung zu unserem Domänencontroller. Unter Windows verwenden wir dazu ldp.exe. Falls Sie einen anderen Domänencontroller besitzen, stellen Sie eine Verbindung zu diesem her; andernfalls installieren Sie die Verwaltungstools, die in den Windows Server-Funktionen verfügbar sind.
Starten Sie ldp.exe über ein Ausführen-Fenster.
Klicken Sie im Menü auf Verbindung 1 und anschließend auf Verbinden 2.
Geben Sie den FQDN 1 des Domänencontrollers ein, geben Sie Port 636 2 ein, aktivieren Sie das SSL-Kontrollkästchen 3 und klicken Sie dann auf die Schaltfläche OK 4.
Wir sind über LDAPS mit dem Domänencontroller verbunden.
Sie wissen nun, wie Sie eine LDAPS-Verbindung innerhalb Ihrer Active Directory-Umgebung mithilfe einer ADCS-Zertifizierungsstelle verwenden.
Es ist möglich, das Zertifikat automatisch mithilfe eines Gruppenrichtlinie ggf.
