Настройка ldap windows server 2008 r2

Обновлено: 21.11.2024

Если вы еще не создали запрос на подпись сертификата (CSR) и не заказали сертификат, см.
Microsoft Active Directory LDAP (2008): создание CSR сертификата SSL.

Microsoft Active Directory LDAP (2008 г.): установка SSL-сертификата

Чтобы установить SSL-сертификат на сервер LDAP Microsoft Active Directory, выполните следующие действия.

Импортируйте сертификат SSL на сервер LDAP (2008 г.) с помощью утилиты DigiCert® Certificate Utility для Windows.

Экспортируйте SSL-сертификат в формате .pfx с помощью утилиты DigiCert® Certificate Utility для Windows.

Установите файл SSL-сертификата .pfx в личное хранилище доменных служб Active Directory (2008 г.).

Импорт SSL-сертификата с помощью утилиты DigiCert Certificate Utility

После того, как мы проверим и выдадим ваш SSL-сертификат, вы можете использовать утилиту DigiCert® Certificate Utility для Windows, чтобы импортировать файл на ваш сервер LDAP Microsoft Active Directory.

На сервере LDAP под управлением Windows 2008/2008 R2, где вы создали CSR, сохраните файл SSL-сертификата .cer (т. е. your_domain_com.cer), отправленный вам компанией DigiCert.

Запустите утилиту сертификатов DigiCert® для Windows.

Дважды щелкните DigiCertUtil.

В программе DigiCert Certificate Utility для Windows© нажмите SSL (золотой замок), а затем нажмите Импорт.

В окне «Импорт сертификата» в разделе «Имя файла» нажмите «Обзор», чтобы перейти к файлу сертификата .cer (т. е. your_domain_com.cer), который вам прислал DigiCert, выберите файл, нажмите «Открыть», а затем , нажмите "Далее".

В поле Введите новое понятное имя или вы можете принять значение по умолчанию введите понятное имя для сертификата. Понятное имя не является частью сертификата; вместо этого он используется для идентификации сертификата.

Мы рекомендуем добавить DigiCert и дату истечения срока действия в конце понятного имени, например: yoursite-DigiCert-expirationDate. Эта информация помогает определить издателя и дату истечения срока действия каждого сертификата. Это также помогает различать несколько сертификатов с одним и тем же доменным именем.

Нажмите "Готово".

Экспорт SSL-сертификата в формате .pfx с помощью утилиты DigiCert Certificate Utility

После того как вы импортировали сертификат SSL на сервер Microsoft AD LDAP, вы можете использовать утилиту сертификатов DigiCert® для Windows, чтобы экспортировать сертификат SSL в виде файла .pfx.

Запустите утилиту сертификатов DigiCert® для Windows.

Дважды щелкните DigiCertUtil.

В программе DigiCert Certificate Utility для Windows© нажмите SSL (золотой замок), выберите SSL-сертификат, который хотите экспортировать, а затем нажмите Экспорт сертификата.

В мастере экспорта сертификатов выберите Да, экспортировать закрытый ключ, выберите PFX-файл, снимите флажок Включить все сертификаты в путь сертификации, если это возможно, а затем нажмите Далее.

В полях "Пароль" и "Подтверждение пароля" введите и подтвердите свой пароль, а затем нажмите "Далее".

Примечание. Этот пароль используется при импорте SSL-сертификата на другие серверы типа Windows или другие серверы или устройства, которые принимают файл .pfx.

В поле Имя файла нажмите …, чтобы найти и выбрать расположение и имя файла, в котором вы хотите сохранить файл .pfx, а затем нажмите Готово.

После получения сообщения "Ваш сертификат и ключ успешно экспортированы" нажмите кнопку "ОК".

Вы успешно экспортировали свой SSL-сертификат в виде файла .pfx.

Microsoft AD LDAP (2008 г.): Импорт PFX-файла сертификата в личное хранилище AD DS

Получив файл сертификата .pfx, вы можете использовать консоль управления Microsoft (MMC), чтобы импортировать его в личное хранилище доменных служб Active Directory.

Импорт файла сертификата .pfx

Откройте консоль управления Microsoft (MMC) от имени администратора.

В меню "Пуск" Windows в поле "Найти программы и файлы" введите mmc.

Щелкните правой кнопкой мыши файл mmc.exe и выберите "Запуск от имени администратора".

В окне "Контроль учетных записей пользователей" нажмите "Да", чтобы разрешить программе вносить изменения в компьютер.

В консоли MMC нажмите «Файл» > «Добавить/удалить оснастку».

В окне "Добавить или удалить оснастки" в разделе "Доступные оснастки" выберите "Сертификаты", а затем нажмите "Добавить".

В окне оснастки "Сертификаты" выберите "Учетная запись службы" и нажмите "Далее".

В окне "Выбор компьютера" выберите "Локальный компьютер:" (компьютер, на котором запущена эта консоль), а затем нажмите "Далее".

В окне оснастки "Сертификаты" выберите доменные службы Active Directory, а затем нажмите "Готово".

В окне "Добавить или удалить оснастку" нажмите "ОК".

В консоли MMC, в дереве консоли, разверните Сертификаты - Служба (доменные службы Active Directory), щелкните правой кнопкой мыши NTDS/Personal и выберите Импорт.

В мастере импорта сертификатов на странице "Добро пожаловать на страницу импорта сертификатов" нажмите "Далее".

На странице «Файл для импорта» нажмите «Обзор», чтобы найти и выбрать файл сертификата .pfx (например, your_domain_com.pfx), который вы экспортировали с помощью утилиты DigiCert Certificate Utility. , выберите файл, нажмите «Открыть», а затем нажмите «Далее».

На странице "Пароль" выполните следующие действия:

В поле "Пароль" введите пароль, созданный при экспорте файла сертификата .pfx.

Отметьте Включить все расширенные свойства.

Отметьте флажок Пометить этот ключ как экспортируемый.

Нажмите "Далее".

На странице "Хранилище сертификатов" оставьте настройки по умолчанию и нажмите "Далее".

Настройки по умолчанию:

Поместить все сертификаты в следующее хранилище

На странице "Завершение импорта сертификата" проверьте настройки и нажмите "Готово".

Все ваши клиентские компьютеры теперь должны иметь возможность устанавливать SSL-соединения со всеми вашими контроллерами домена в лесу.

Убедитесь, что SSL успешно настроен

Откройте оснастку LDP от имени администратора.

В меню "Пуск" Windows в поле "Найти программы и файлы" введите ldp.

Щелкните правой кнопкой мыши файл ldp.exe и выберите "Запуск от имени администратора".

В Ldp нажмите "Подключение" > "Подключиться".

В окне "Подключение" выполните следующие действия:

В поле Сервер введите имя хоста, к которому вы подключаетесь.

В поле Порт введите 636.

Снимите флажок Без подключения.

Вывод команды должен отображать имя пользователя и доменное имя для привязки.

Если вы получаете сообщение Не удается открыть соединение, привязка LDAP-over-SSL настроена неправильно.

Далее в LDP нажмите Соединение > Привязать.

В окне "Привязка" нажмите "ОК".

Вывод команды теперь должен отображать имя пользователя и доменное имя для привязки.

Суббота, 26 апреля 2014 г.

Включение LDAP через SSL в Windows Server 2008 R2 SP1

Ниже описан процесс настройки LDAP через SSL со стороны сервера контроллера домена Windows 2008 R2 SP1.

Примечание. Это минимум, необходимый для того, чтобы заставить NetApp CDOT 8.2.1 SVM правильно настроить LDAP через SSL, прежде чем он сможет присоединиться к домену Active Directory.

Моя экспериментальная установка — это просто один контроллер домена Windows Server 2008 R2 с пакетом обновления 1 (SP1) с именем MSDMC01 в домене LAB.PRIV. И мы начнем с практически готовой настройки контроллера домена.

Конфигурация компьютера > Политики > Параметры Windows > Параметры безопасности > Локальные политики > Параметры безопасности

Найдите политику «Контроллер домена: требования к подписи сервера LDAP», щелкните правой кнопкой мыши и выберите «Свойства»

Затем на контроллере домена откройте командную строку DOS и введите следующую команду, чтобы обновить политику на контроллере домена.

Примечание. Параметр объекта групповой политики не применяется до тех пор, пока параметр реестра — HKLM\SYSTEM\CurrentControlSet\services\NTDS\Parameters и DWORD «ldapserverintegrity» не будет изменен со значения по умолчанию 1 на новое значение 2. Если вы вручную меняете реестр, не обновляя объект групповой политики контроллеров домена по умолчанию, он возвращается к 1 после каждого gpupdate.

Примечание. Позже (но это не обязательно для того, чего мы хотим добиться здесь) я установлю «Веб-регистрацию центра сертификации», чтобы я мог запрашивать сертификаты у центра сертификации домена.

На контроллере домена Enterprise Root CA выполните следующие команды из командной строки DOS (>), чтобы получить самозаверяющий сертификат корневого CA, и скопируйте все выходные данные между строками BEGIN CERTIFICATE и END CERTIFICATE включительно в простой Текстовый документ. Его необходимо предоставить клиентам, желающим установить LDAP через SSL-соединения, чтобы они могли сначала установить корневой сертификат ЦС.

Есть ли у кого-нибудь руководство по установке LDAP на Server 2008 R2? ИЛИ он был изменен на что-то другое?

Участвуйте, чтобы выиграть еженедельные подарочные карты (от 100 евро), Oculus и наушники/колонки

Конкурс завершается 27 марта 2022 г. Конкурсы Каждую неделю узнайте больше о том, как Red Hat может помочь вам добиться простоты и цифровых инноваций, и ответьте на вопрос. Детали конкурса Просмотреть все конкурсы

Майк400

Уточните у своего хостинг-провайдера. У них должны быть инструкции по подключению к вашим серверам AD.

6 ответов

Нужна дополнительная информация. Контроллеры домена AD по умолчанию являются серверами LDAP. Так чего же вы пытаетесь достичь? Что находится ниже по течению и что необходимо для выполнения запросов LDAP? Рассматривали ли вы Centrify?

Спасибо за быстрый ответ. Мы подключим наше решение Hosted Firewall/VPN, чтобы наш пароль синхронизировался/обновлялся, поскольку у нас есть требования к смене пароля. Мы стараемся не использовать отдельные имена пользователей/пароли VPN для каждого пользователя VPN. Хотел бы использовать только учетные записи AD.

Нет, я ничего не слышал о Centrify, но собираюсь проверить.

Майк400

Уточните у своего хостинг-провайдера. У них должны быть инструкции по подключению к вашим серверам AD.

Хорошо, я не знал, что LDAP уже был частью этого в 2008 году, в отличие от 2003 года, который нужно было включить. Я отправил электронное письмо нашему провайдеру по поводу установки — я просто хотел убедиться, что мы будем готовы, когда они будут готовы.

Точно

отметить 87 лучших ответов
thumb_up 267 благодарных отзывов

Я не знал, что LDAP уже был частью этого в 2008 году, в отличие от 2003 года, который нужно было включить

В версии 2008 это тоже роль, но ее нужно установить и настроить.

Есть ли у вас сейчас какая-либо форма AD/LDAP?

Какой поставщик вашего решения Hosted Firewall/VPN?

Большинство решений Hosted Firewall/VPN обеспечивают ту или иную форму интеграции AD/LDAP именно для этой цели.

Я рекомендую связаться с вашим поставщиком.

он установлен на сервере 2003 года, который мы используем для нашей текущей VPN. Я только что потерялся в 2008 году и встал и начал работать. Я связался с нашим поставщиком. Мы будем использовать клиент Fortinet VPN на размещенном брандмауэре.

Эта тема заблокирована администратором и больше не открыта для комментариев.

Чтобы продолжить это обсуждение, задайте новый вопрос.

Искра! Серия Pro – 22 марта 2022 г.

День в истории: 22 марта 1765 г. — принят Закон о гербовом сборе; Первый прямой британский налог на американских колонистов, организованный премьер-министром Джорджем Гренвиллем 1782 г. — Папа Пий VI прибывает в Вену для встречи с императором Священной Римской империи.

Щелкни! Взлом Okta, взлом Microsoft, дефекты принтеров HP, экзопланеты, изобретательность

Ваша ежедневная доза технических новостей. Вы должны это услышать. Компания по аутентификации Okta расследует сообщение об утечке данных Поставщик аутентификации Okta, похоже, подвергся серьезной утечке данных после того, как в сети появились скриншоты конфиденциальных данных.

Как вы измеряете успех?

Если в вашей команде появился новый инженер, и вы его обучили. Как вы измеряете успех инженера с точки зрения обучения, которое вы предоставили? Как вы оцениваете, что они должны уметь делать, или как узнать, было ли ваше обучение успешным.

Настойчивая тактика MSP

За последние несколько месяцев моя компания связалась с некоторыми ИТ-поставщиками в этом районе, чтобы узнать, подходят ли они нам для какой-либо консультационной работы и разовых проектов. долгосрочное обязательство или "услуга pl.

Стремление к карьерному росту

Здравствуйте! Кажется, это правильное место, чтобы задать мой вопрос. Я ищу эффективный способ получить должность, связанную с сетями (администрирование, проектирование, проектирование и т. д.). Я работаю в сфере ИТ около пяти лет. Я иду изначально фр.

Нужна помощь? Мы здесь!

Спасибо за ваш запрос.

Пошаговое руководство по настройке LDAPS на Windows Server Подключитесь к LDAPS, используя рекомендации miniOrange, чтобы настроить LDAP через SSL и установить безопасное соединение с сервером LDAP.

Защитите соединение сервера LDAP между клиентом и серверным приложением, чтобы зашифровать связь. В случае подключения с простой привязкой рекомендуется использовать SSL/TLS для обеспечения безопасности аутентификации, поскольку при простой привязке учетные данные пользователя отображаются в виде открытого текста.

Шаг 1. Установите центр сертификации, создайте и экспортируйте сертификат

1.1: Установите роль "Службы сертификатов Active Directory" через роли диспетчера серверов.

1.2: Создать шаблон сертификата

1.3: Шаблон выдачи сертификата

1.4: запросить новый сертификат для созданного шаблона сертификата

1.5: Экспорт созданного сертификата

Шаг 2. Настройте LDAPS на клиентском сервере

2.1: преобразование формата сертификата и установка сертификата с помощью OpenSSL

sudo apt-get установить openssl

ням установить openssl

2.2: Установите сертификат в хранилище ключей JAVA.

Выполните следующую команду, чтобы установить сертификат в cacerts.
Для Windows:
Содержание

Почему наши клиенты выбирают решения miniOrange Secure Identity?

Поддержка 24/7

miniOrange обеспечивает круглосуточную поддержку для всех решений Secure Identity Solutions. Мы гарантируем высокое качество поддержки, чтобы удовлетворить ваши потребности.

Доступные цены

miniorange предоставляет самые доступные решения для безопасной идентификации для всех типов случаев использования и предлагает различные пакеты в зависимости от требований заказчика.

Мы предлагаем решения для безопасной идентификации для единого входа, двухфакторной аутентификации, адаптивной многофакторной аутентификации, подготовки и многого другого. Пожалуйста, свяжитесь с нами по адресу -

Читайте также: