У Ацтиве Дирецтори-у, ЛДАП саобраћај између контролера домена и клијената није шифриран, тј. подаци се преносе путем мреже у јасном облику. Потенцијално, то значи да нападач може прочитати ове податке користећи пакет њушкало. За стандардно Виндовс окружење то углавном није критично, али ограничава могућности трећих програмера апликација који користе ЛДАП.
На пример, операција промене лозинке мора се извести преко сигурног канала (на пример, Керберос или ССЛ / ТЛС). То значи да, на пример, коришћењем -пхп функције, која ради са АД преко ЛДАП-а, не можете да промените корисничку лозинку у домену.
Можете заштитити ЛДАП податке између клијента и контролера домене користећи ССЛ верзију ЛДАП-а - ЛДАПС, који ради на прикључку 636 (ЛДАП живи на порту 389). Да бисте то учинили, морате да инсталирате посебан ССЛ сертификат на контролер домена. Сертификат може бити трећа страна, издата од стране треће стране (нпр. Верисигн), сопствена потписа или издата од стране корпоративног сертификационог тела.
У овом ћемо чланку показати како се користи инсталација цертификата ЛДАПС (ЛДАП преко слоја сигурних утичница) на контролору домена на коме је покренут Виндовс Сервер 2012 Р2. Са потребним сертификатом, ЛДАП услуга на контролеру домене може успоставити ССЛ везе за пренос ЛДАП промета и промета глобалног каталошког сервера (ГЦ).
Имајте на уму да ЛДАПС углавном користе апликације трећих страна (доступне као клијентима који нису Мицрософт) ради заштите података који се преносе путем мреже (да би се осигурала немогућност пресретања корисничких имена и лозинки и других приватних података).
Претпоставимо да већ имате сервер корпоративног идентитета распоређен у вашој инфраструктури. Сертификација Ауторитет (ЦА). То може бити или пуна ПКИ инфраструктура или самосталан сервер са улогом ауторитета за потврђивање.
На северу, са улогом органа за потврђивање, покрените конзолу Сертификација Ауторитет Менаџмент Конзола, одаберите одељак шаблона сертификата (Сертификат Предлошци ) и у контекстном менију изаберите Управљајте.
Пронађите предложак Керберос Аутентификација сертификат и креирајте његову копију одабиром Дупликат образац.
Картица Генерале преименујте предложак сертификата у ЛДАПоверССЛ, навести рок важења и објавити га у АД (Објавите сертификат у Ацтиве Дирецтори-у).
Картица Захтевајте руковање потврдите поље Дозволи извоз приватног кључа и сачувајте предложак.
На основу креираног шаблона објавићемо нову врсту сертификата. Да бисте то учинили, у контекстном менију одељка Предлошци сертификата изаберите Ново -> Предложак сертификата који треба издати.
С листе доступних образаца одаберите ЛДАПоверССЛ и кликните на ОК..
На контролеру домена за који планирате да користите ЛДАПС отворите снап-уп за управљање сертификатом и у продавници сертификата Лично затражите нови сертификат (Сви задаци ->) Затражите нови сертификат).
На листи доступних сертификата изаберите ЛДАПоверССЛ сертификат и кликните Упис (издавање потврде).
Следећи захтев је да контролер домена и клијенти који ће комуницирати преко ЛДАПС-а верују органу за сертификацију (ЦА) који је издао сертификат за контролер домена.
Ако то још није учињено, извезите основни сертификат ауторитета за сертификацију у датотеку извођењем следеће наредбе на серверу са улогом ауторитета за потврђивање:цертутил -ца.церт ца_наме.цер
Затим додајте извезени сертификат у контејнер са сертификатима Поуздан ауторитет за сертификацију коријенас чува се сертификат на клијенту и контролеру домена. То се може урадити ручно преко прикључка за управљање сертификатом, путем ГПО-а или из командне линије (више овде).
цертмгр.еке -адд Ц: \ ца_наме.цер -с -р лоцалМацхине РООТ
Морате поново покренути Ацтиве Дирецтори на контролеру домена или потпуно поново покренути ДЦ.
Остаје да се тестира рад на ЛДАПС-у. Да бисте то учинили, покрените услужни програм на клијенту лдп.еке и изаберите у менију Цоннецтион-> Цоннецт->Навести пун (ФКДН) име контролера домена, одаберите порт 636 и означите ССЛ -> Ок. Ако се све правилно обави, везу треба успоставити.
Напомена. Услужни програм лдп.еке на клијентима инсталиран је као део комплета за удаљену управу сервера (РСАТ): РСАТ за Виндовс 8, за 8.1.