Настройка ldap windows server 2012 r2

Обновлено: 03.07.2024

Инструкции по Microsoft Active Directory LDAP на Windows Server 2008/2008R2 см. в разделе
Microsoft Active Directory LDAP (2008): установка сертификата SSL.

Если вы еще не создали запрос на подпись сертификата (CSR) и не заказали сертификат, см. статью Microsoft Active Directory LDAP (2012): создание CSR сертификата SSL.

Microsoft Active Directory LDAP (2012 г.): установка SSL-сертификата

Чтобы установить SSL-сертификат на сервер LDAP Microsoft Active Directory, выполните следующие действия.

Импортируйте сертификат SSL на сервер LDAP (2012 г.) с помощью утилиты DigiCert® Certificate Utility для Windows.

Экспортируйте SSL-сертификат в формате .pfx с помощью утилиты DigiCert® Certificate Utility для Windows.

Установите файл SSL-сертификата .pfx в личное хранилище доменных служб Active Directory (2012 г.).

Импорт SSL-сертификата с помощью утилиты DigiCert Certificate Utility

После того, как мы проверим и выдадим ваш SSL-сертификат, вы можете использовать утилиту DigiCert® Certificate Utility для Windows, чтобы импортировать файл на ваш сервер LDAP Microsoft Active Directory.

На сервере LDAP под управлением Windows 20012/2012 R2, где вы создали CSR, сохраните файл SSL-сертификата .cer (т. е. your_domain_com.cer), отправленный вам компанией DigiCert.

Запустите утилиту сертификатов DigiCert® для Windows.

Дважды щелкните DigiCertUtil.

В программе DigiCert Certificate Utility для Windows© нажмите SSL (золотой замок), а затем нажмите Импорт.

Импорт сертификата

В окне «Импорт сертификата» в разделе «Имя файла» нажмите «Обзор», чтобы перейти к файлу сертификата .cer (т. е. your_domain_com.cer), который вам прислал DigiCert, выберите файл, нажмите «Открыть», а затем , нажмите "Далее".

Импорт сертификата

В поле Введите новое понятное имя или вы можете принять значение по умолчанию введите понятное имя для сертификата. Понятное имя не является частью сертификата; вместо этого он используется для идентификации сертификата.

Мы рекомендуем добавить DigiCert и дату истечения срока действия в конце понятного имени, например: yoursite-DigiCert-expirationDate. Эта информация помогает определить издателя и дату истечения срока действия каждого сертификата. Это также помогает различать несколько сертификатов с одним и тем же доменным именем.

Дружественное имя

Нажмите "Готово".

Экспорт SSL-сертификата в формате .pfx с помощью утилиты DigiCert Certificate Utility

После импорта SSL-сертификата на сервер Microsoft AD LDAP используйте утилиту DigiCert® Certificate Utility для Windows, чтобы экспортировать SSL-сертификат в виде файла .pfx.

Запустите утилиту сертификатов DigiCert® для Windows.

Дважды щелкните DigiCertUtil.

В программе DigiCert Certificate Utility для Windows© нажмите SSL (золотой замок), выберите SSL-сертификат, который хотите экспортировать, а затем нажмите Экспорт сертификата.

Экспортный сертификат

В мастере экспорта сертификатов выберите Да, экспортировать закрытый ключ, выберите PFX-файл, снимите флажок Включить все сертификаты в путь сертификации, если это возможно, а затем нажмите Далее.

Экспорт файла ключа Apache

В полях "Пароль" и "Подтверждение пароля" введите и подтвердите свой пароль, а затем нажмите "Далее".

Примечание. Этот пароль используется при импорте SSL-сертификата на другие серверы типа Windows или другие серверы или устройства, которые принимают файл .pfx.

Пароль

В поле Имя файла нажмите …, чтобы найти и выбрать расположение и имя файла, в котором вы хотите сохранить файл .pfx, а затем нажмите Готово.

Расположение файла

После получения сообщения "Ваш сертификат и ключ успешно экспортированы" нажмите кнопку "ОК".

Вы успешно экспортировали свой SSL-сертификат в виде файла .pfx.

Сообщение об успехе

Microsoft AD LDAP (2012 г.): Импорт PFX-файла сертификата в личное хранилище AD DS

Получив файл сертификата .pfx, используйте консоль управления Microsoft (MMC), чтобы импортировать его в личное хранилище доменных служб Active Directory.

Импорт файла сертификата .pfx

Откройте консоль управления Microsoft (MMC) от имени администратора.

На начальном экране Windows введите mmc.

Щелкните правой кнопкой мыши файл mmc.exe.

В меню в нижней части экрана выберите Запуск от имени администратора.

В окне "Контроль учетных записей пользователей" нажмите "Да", чтобы разрешить программе вносить изменения в компьютер.

В консоли MMC нажмите «Файл» > «Добавить/удалить оснастку».

MMC Добавить или удалить оснастку

В окне "Добавить или удалить оснастки" в разделе "Доступные оснастки" выберите "Сертификаты", а затем нажмите "Добавить".

Добавить или удалить окно оснастки, добавить сертификаты

В окне оснастки "Сертификаты" выберите "Учетная запись службы" и нажмите "Далее".

Окно оснастки

В окне "Выбор компьютера" выберите "Локальный компьютер:" (компьютер, на котором запущена эта консоль), а затем нажмите "Далее".

Выберите окно

В окне оснастки "Сертификаты" выберите доменные службы Active Directory, а затем нажмите "Готово".

Окно оснастки

В окне "Добавить или удалить оснастку" нажмите "ОК".

Добавить или удалить окно оснастки

В консоли MMC, в дереве консоли, разверните Сертификаты - Служба (доменные службы Active Directory), щелкните правой кнопкой мыши NTDS/Personal и выберите Импорт.

Консоль MMC

В мастере импорта сертификатов на странице "Добро пожаловать на страницу импорта сертификатов" нажмите "Далее".

Страница приветствия мастера импорта сертификатов

На странице «Файл для импорта» нажмите «Обзор», чтобы найти и выбрать файл сертификата .pfx (например, your_domain_com.pfx), который вы экспортировали с помощью утилиты DigiCert Certificate Utility. , выберите файл, нажмите «Открыть», а затем нажмите «Далее».

Файл мастера импорта сертификатов на страницу импорта

На странице "Пароль" выполните следующие действия:

В поле "Пароль" введите пароль, созданный при экспорте файла сертификата .pfx.

Отметьте Включить все расширенные свойства.

Отметьте флажок Пометить этот ключ как экспортируемый.

Нажмите "Далее".

Страница пароля мастера импорта сертификатов

На странице "Хранилище сертификатов" оставьте настройки по умолчанию и нажмите "Далее".

Настройки по умолчанию:

Поместите все сертификаты в следующее хранилище.

Страница хранилища сертификатов мастера импорта сертификатов

На странице "Завершение импорта сертификата" проверьте настройки и нажмите "Готово".

Завершение страницы импорта сертификата

Все ваши клиентские компьютеры теперь должны иметь возможность устанавливать SSL-соединения со всеми вашими контроллерами домена в лесу.

Убедитесь, что SSL успешно настроен

Откройте оснастку LDP от имени администратора.

На начальном экране Windows введите ldp.

Щелкните правой кнопкой мыши файл ldp.exe.

В меню в нижней части экрана выберите Запуск от имени администратора.

В окне "Контроль учетных записей пользователей" нажмите "Да", чтобы разрешить программе вносить изменения в компьютер.

В Ldp нажмите "Подключение" > "Подключиться".

Ldp window Connect

В окне "Подключение" выполните следующие действия:

В поле Сервер введите имя хоста, к которому вы подключаетесь.

В поле Порт введите 636.

Снимите флажок Без подключения.

Подключить окно

Вывод команды должен отображать имя пользователя и доменное имя для привязки.

Если вы получаете сообщение Не удается открыть соединение, привязка LDAP-over-SSL настроена неправильно.

Не удается открыть сообщение о соединении

Далее в LDP нажмите Соединение > Привязать.

Ldp window Bind

В окне "Привязка" нажмите "ОК".

Привязать окно

Вывод команды теперь должен отображать имя пользователя и доменное имя для привязки.

Нужна помощь? Мы здесь!

success

Спасибо за ваш запрос.

Пошаговое руководство по настройке LDAPS на Windows Server Подключитесь к LDAPS, используя рекомендации miniOrange, чтобы настроить LDAP через SSL и установить безопасное соединение с сервером LDAP.

Защитите соединение сервера LDAP между клиентом и серверным приложением, чтобы зашифровать связь. В случае подключения с простой привязкой рекомендуется использовать SSL/TLS для обеспечения безопасности аутентификации, поскольку при простой привязке учетные данные пользователя отображаются в виде открытого текста.

Шаг 1. Установите центр сертификации, создайте и экспортируйте сертификат

1.1: Установите роль "Службы сертификатов Active Directory" через роли диспетчера серверов.

1.2: Создать шаблон сертификата

1.3: Шаблон выдачи сертификата

1.4: запросить новый сертификат для созданного шаблона сертификата

LDAPS в центре сертификации Windows Server

    Перейдите в Windows Key + R -> mmc -> Файл -> Добавить/удалить оснастку. Выберите «Сертификаты», нажмите кнопку «Добавить», а затем нажмите кнопку «ОК».

1.5: Экспорт созданного сертификата

Шаг 2. Настройте LDAPS на клиентском сервере

2.1: преобразование формата сертификата и установка сертификата с помощью OpenSSL

    Для Ubuntu:
      sudo apt-get установить openssl
      ням установить openssl

    2.2: Установите сертификат в хранилище ключей JAVA.

    • Выполните следующую команду, чтобы установить сертификат в cacerts.
    • Для Windows:
        keytool -importcert -alias "mOrangeLDAPS"
        -keystore "C:\Program Files\Java\jre1.8.0_231\lib\security\cacerts"
        -file "C:\Users\Administrator\Documents\ mOrangeLDAPS.cer"
        keytool -importcert -alias "mOrangeLDAPS"
        -keystore "/usr/java/jdk1.8.0_144/jre/lib/security/cacerts"
        -file "/home/mOrangeLDAPS.cer"

      Содержание

      Почему наши клиенты выбирают решения miniOrange Secure Identity?

      Поддержка 24/7

      miniOrange обеспечивает круглосуточную поддержку для всех решений Secure Identity Solutions. Мы гарантируем высокое качество поддержки, чтобы удовлетворить ваши потребности.

      Доступные цены

      miniorange предоставляет самые доступные решения для безопасной идентификации для всех типов случаев использования и предлагает различные пакеты в зависимости от требований заказчика.

      Мы предлагаем решения для безопасной идентификации для единого входа, двухфакторной аутентификации, адаптивной многофакторной аутентификации, подготовки и многого другого. Пожалуйста, свяжитесь с нами по адресу -

      Отправьте мне URL-адрес ПОШАГОВОГО РУКОВОДСТВА ПО УСТАНОВКЕ ACTIVE DIRECTORY Lightweight НА WINDOWS SERVER 2012 R2.

      Это только для обучения.

      Примите участие, чтобы выиграть Oculus Win, наушники/колонки или подарочную карту на 300 евро

      7 ответов

      davidr4

      Этот человек является проверенным специалистом

      Давидр4

      Как насчет YouTube. Я просматриваю обучающие видео/классы по сертификации MCSA, если вы хотите научиться

      allit

      Вот, приятель:

      Спасибо, Дэвид и Аллит, за то, что поделились ссылками, но мне нужно пошаговое руководство по настройке AD LDS

      ДжоУильямс

      Этот человек является проверенным специалистом

      ДжоУильямс

      EBS Computer Services — это поставщик ИТ-услуг.

      subramanyamsingaram написал:

      Спасибо, Дэвид и Аллит, за обмен ссылками, но мне нужно пошаговое руководство по настройке AD LDS

      Есть ли у вас какие-либо конкретные проблемы или трудности? Какую часть AD LDS вам нужно объяснить лучше?

      я не могу получить объявление о пароле для ldap.

      как я могу синхронизировать пароль пользователей рекламы с ldap

      ДжоУильямс

      Этот человек является проверенным специалистом

      ДжоУильямс

      EBS Computer Services — это поставщик ИТ-услуг.

      subramanyamsingaram написал:

      Привет, Аллит,

      я не могу получить объявление с паролем для ldap.

      как я могу синхронизировать пароль пользователей рекламы с ldap

      У вас уже есть сервер LDAP, с которым вы хотите синхронизировать AD LDS?

      да, я могу синхронизировать пользователей, но пароль не синхронизируется.

      как я могу решить проблему

      Эта тема заблокирована администратором и больше не открыта для комментариев.

      Чтобы продолжить это обсуждение, задайте новый вопрос.

      Искра! Серия Pro – 22 марта 2022 г.

      День в истории: 22 марта 1765 г. — принят Закон о гербовом сборе; Первый прямой британский налог на американских колонистов, организованный премьер-министром Джорджем Гренвиллем 1782 г. — Папа Пий VI прибывает в Вену для встречи с императором Священной Римской империи.

      Щелкни! Взлом Okta, взлом Microsoft, дефекты принтеров HP, экзопланеты, изобретательность

      Ваша ежедневная доза технических новостей. Вы должны это услышать. Компания по аутентификации Okta расследует сообщение об утечке данных Поставщик аутентификации Okta, похоже, подвергся серьезной утечке данных после того, как в сети появились скриншоты конфиденциальных данных.

      Как вы измеряете успех?

      Если в вашей команде появился новый инженер, и вы его обучили. Как вы измеряете успех инженера с точки зрения обучения, которое вы предоставили? Как вы оцениваете, что они должны уметь делать, или как узнать, было ли ваше обучение успешным.

      Настойчивая тактика MSP

      За последние несколько месяцев моя компания связалась с некоторыми ИТ-поставщиками в этом районе, чтобы узнать, подходят ли они нам для какой-либо консультационной работы и разовых проектов. долгосрочное обязательство или "услуга pl.

      Стремление к карьерному росту

      Привет!Кажется, это правильное место, чтобы задать мой вопрос. Я ищу эффективный способ получить должность, связанную с сетями (администрирование, проектирование, проектирование и т. д.). Я работаю в сфере ИТ около пяти лет. Я иду изначально фр.

      Active Directory построен на основе LDAP, я знал об этом давно, но кроме протокола каталогов это все, что я знал. Как и в любом каталоге, если вам нужна информация, когда вы запрашиваете каталог, он возвращает результат. Проблема в том, что информация отправляется в «открытом тексте», что не идеально. Чтобы решить эту проблему, вы можете защитить и зашифровать этот трафик с помощью SSL.

      Причина, по которой я беспокоился о LDAPS на этой неделе, заключалась в том, что я развертывал устройство RSA Authentication Manager Appliance, и когда я попытался добавить Active Directory в качестве источника удостоверений, это произошло;

      RSA При обработке вашего запроса возникла проблема

      Консоль управления RSA

      Решение

      Чтобы запросить контроллер домена через LDAPS, вам нужен сертификат для защиты этой связи, технические специалисты, как правило, отступают, когда упоминается PKI, я не знаю почему, но большинство людей боятся того, чего они не понимают, а шифрование довольно сложно, но вы только подумайте;

      • PKI выдает сертификаты вещам.
      • Сертификаты помогают работать.
      • Срок их действия истекает, и его необходимо продлить.

      Имея это в виду, мы можем решить эту проблему двумя способами. Вариант 1. Установите корпоративный корневой ЦС на один из ваших контроллеров домена (это устраняет все эти проблемы одним нажатием). Если у вас есть только один сервер, это, вероятно, наш лучший вариант, но в любой производственной сети это не очень элегантное решение. Итак, вариант 2: установить решение PKI для домена и использовать его.

      Если у вас уже есть отличная инфраструктура PKI/CA, если нет, просто выберите сервер и запустите Диспетчер серверов > Управление > Добавить роли и функции > Добавить роль служб сертификации Active Directory > Следуйте инструкциям на экране.< /p>

      На самом деле настройка PKI выходит за рамки этой статьи, я исхожу из предположения, что у вас есть настроенный корневой/корпоративный ЦС и все готово к работе.

      <р>1. На сервере ЦС запустите Консоль управления центром сертификации > Шаблоны сертификатов > Щелкните правой кнопкой мыши > Управление.

      Server 2012 Manage Certificates

      <р>2. Найдите сертификат проверки подлинности Kerberos > Создать дубликат.

      Шаблон-дубликат PKI

      <р>3. Вкладка «Общие» > Назовите ее «LDAPoverSSL» > Установите срок ее действия > Решите, хотите ли вы опубликовать сертификат в AD.

      Сертификат LDAPoverSSL

      <р>4. Вкладка «Обработка запросов» > выберите «Разрешить экспорт закрытого ключа» > «Применить» > «ОК».

      Разрешить экспорт закрытого ключа

      <р>5. Щелкните правой кнопкой мыши Шаблоны сертификатов еще раз > Шаблон сертификата для выдачи.

      2012 Выпуск цифрового сертификата

      <р>6. Найдите и выберите сертификат «LDAPoverSSL» > «ОК».

      Шаблоны PKI

      <р>7. Теперь войдите в КОНТРОЛЛЕР ДОМЕНА> Клавиша Windows + R> mmc> Файл> Добавить/удалить оснастку> Добавить оснастку «Сертификаты»> Учетная запись компьютера> Готово> ОК> Развернуть Сертификаты> Личные> Сертификаты> Щелкните правой кнопкой мыши> Все задачи > Запросить новый сертификат > Далее > Далее.

      Запросить новый сертификат

      <р>8. Выберите сертификат LDAPoverSSL > Зарегистрировать > Закрыть оснастку сертификата.

      Зарегистрируйтесь в LDAPS

      <р>9. В моем случае мне нужно, чтобы мое устройство «доверяло» ЦС, поэтому на СЕРВЕРЕ СЕРТИФИКАТОВ > откройте командное окно и выполните следующую команду;

      Экспорт корневого сертификата

      <р>10. Он отобразит сертификат PEM на экране и должен завершиться успешно.

      Корневой сертификат PEM

      <р>11. Вы заметите, что моя команда была запущена, когда я был в корне диска C:, ваша, вероятно, будет C:Users, перейдите туда и получите копию «Корневого сертификата».

      Копировать корневой сертификат

      Тестирование LDAP и LDAPS

      <р>12. На другом сервере> Откройте командные окна и запустите ldp> Соединение> Подключить> Введите полное доменное имя контроллера домена> Установите порт 636> Выберите SSL> ОК> Он должен вернуть некоторые результаты

      Примечание. При возникновении ошибки может потребоваться перезагрузить контроллер домена.

      Это настроенный контроллер домена (вы можете повторить этот процесс для других контроллеров домена), но помните, что я пытаюсь подключить свое устройство RSA.

      Test LDAPS

      Добавление Active Directory в RSA Authentication Manager

      Подключение RSA к Active Directory

      <р>14. На этот раз, когда я добавляю свой Active Directory в качестве источника удостоверений, он завершается без ошибок.

      Читайте также: