Neste tutorial, explicarei como configurar o protocolo LDAPS em um ambiente. Diretório Ativo com conexões seguras aos controladores de domínio usando uma conexão SSL.
Na prática, como você verá neste tutorial, não há configuração no nível do Active Directory, mas onde há SSL, há um certificado, e é isso que veremos neste tutorial: como emitir um certificado para os controladores de domínio para que possam responder à solicitação LDAPS na porta 636.
Para começar, você precisará de uma autoridade de certificação empresarial. ADCS.
É possível usar certificados autoassinados, mas considero essa opção complicada de implementar, pois o certificado precisa ser implantado e não temos a capacidade de revogá-lo.
Índice
Configurar o modelo de certificado
O primeiro passo será configurar um modelo de certificado para a conexão LDAPS; para isso, usaremos o modelo de certificado de autenticação Kerberos, pois ele nos permite ter nos nomes DNS, além do nome do servidor que faz a solicitação, o nome DNS do domínio, o que nos permite configurar a conexão LDAPS usando o nome DNS do domínio em vez do nome do controlador de domínio.
Comece por abrir a consola de Administração da Autoridade de Certificação e, em seguida, aceda à pasta Modelos de Certificados 1.
Clique com o botão direito do mouse em Modelos de certificado e clique em Gerenciar 1.
Clique com o botão direito do mouse no modelo de autenticação Kerberos e clique em Duplicar modelo 1.
Na guia Geral, insira o nome do modelo 1.
Na guia Processamento de solicitações, marque a caixa Permitir exportação da chave privada 1 se você achar que precisa exportar o certificado junto com ela.
Na guia Nome do Assunto, verifique se a opção selecionada é Criar a partir destas informações do Active Directory 1 e se Nome DNS 2 está marcado.
Em seguida, vá para a guia Extensões, selecione Política de Aplicativo 1 e clique no botão Editar 2.
Selecione Autenticação KDC 1 e clique em Excluir 2 e faça o mesmo com Login com Cartão Inteligente.
Com as estratégias configuradas, clique em OK 1 para fechar a janela.
Clique em Aplicar 1 e OK 2 agora para criar o novo modelo.
O modelo LDAPS foi criado.
De volta ao console de gerenciamento da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado, vá para Novo 1 e clique em Modelo de Certificado para Emitir 2.
Selecione o modelo LDAPS 1 que acabamos de criar e clique em OK 2 para adicioná-lo.
O modelo LDAPS foi adicionado aos certificados emitidos pela autoridade certificadora.
Solicite o certificado de um controlador de domínio.
Abra o console MMC de Certificados no computador local (pesquise no menu Iniciar) e acesse a pasta Pessoal/Certificados.
Clique com o botão direito do mouse na área central, vá para Todas as tarefas 1 e clique em Solicitar um novo certificado 2.
Ao iniciar o assistente, clique no botão Próximo 1.
Selecione: Estratégia de registro do Active Directory 1 e clique no botão Próximo 2.
Na lista de modelos, escolha o modelo LDAPS 1 que criamos e clique em Registro 2.
O certificado foi gerado, feche o assistente clicando em Concluir 1.
O certificado é adicionado ao repositório Pessoal do computador.
Teste a conexão LDAPS
Para finalizar este tutorial, vamos verificar a conexão LDAPS com o nosso controlador de domínio. No Windows, usaremos o ldp.exe. Se você tiver outro controlador de domínio, conecte-se a ele; caso contrário, instale as ferramentas administrativas disponíveis nos recursos do Windows Server.
Execute o arquivo ldp.exe a partir da janela Executar.
No menu, clique em Conexão 1 e depois em Conectar 2.
Insira o FQDN 1 do controlador de domínio, insira a porta 636 2, marque a caixa SSL 3 e clique no botão OK 4.
Estamos conectados ao controlador de domínio via LDAPS.
Agora você sabe como usar uma conexão LDAPS em seu ambiente Active Directory utilizando uma autoridade de certificação ADCS.
É possível gerar o certificado automaticamente usando um política de grupo se necessário.
