Настройка ldap windows server 2016

Обновлено: 02.07.2024

Когда мы говорим об активном каталоге, мы называем его одной службой, но AD DS также связаны со многими другими компонентами. DNS, групповые политики, репликация SYSVOL — вот несколько примеров. Каждый из этих компонентов должен работать хорошо, чтобы запустить здоровую среду Active Directory. Это не дается легко, требует вложений ресурсов, времени и навыков. В службе Active Directory основными ценностями являются возможности централизованного управления идентификацией, проверки подлинности и авторизации. Все эти дополнительные компоненты упрощают архивирование его основных ценностей, но в то же время они также создают риски, такие как зависимости и безопасность. Сбой или компрометация этих компонентов/служб повлияет на всю инфраструктуру Active Directory.

Серверы Microsoft Windows Core и Nano Server также считаются «операционными системами». У них нет причудливых графических интерфейсов, запущенных блестящих приложений. Но он по-прежнему выполняет работу операционной системы. Это позволяет пользователям создавать его с нуля в соответствии со своими требованиями. Это также увеличивает время работы сервера (меньше обновлений), надежность, производительность и безопасность. Вскоре после того, как Microsoft выпустила первую версию Active Directory, разработчики приложений начали разговор о том, что они запрашивают версию с чистыми возможностями LDAP. Они хотели объединить все эти зависимости и требования к управлению, чтобы они могли сосредоточиться на разработке приложений на основе основных функций AD. После Windows Server 2003 Microsoft выпускает режим Active Directory Application Mode (ADAM), который позволяет администраторам запускать «урезанную» версию Active Directory без групповых политик, Kerberos, репликации файлов и т. д. Он может работать на настольном компьютере или рядовом сервере, подобно любому другому сервис окон. В то же время он предоставлял все основные ценности службы Active Directory. В Windows Server 2008 Microsoft переименовала его в «Службы Active Directory облегченного доступа к каталогам» и разрешила устанавливать роль с помощью диспетчера серверов. Эта версия предоставила администраторам больше контроля и видимости для развертывания и управления экземплярами LDS. Это было продолжено во всех последующих версиях AD DS и включено в Windows Server 2016.

Установка СПД

В операционной системе Windows Server 2016 его можно установить с помощью диспетчера серверов. чтобы установить LDS, пользователю необходимо войти в систему с правами локального администратора.

После входа в диспетчер серверов нажмите «Добавить роли и компоненты». Затем следуйте указаниям мастера и выберите службы Active Directory облегченного доступа к каталогам в разделе ролей сервера и продолжите включение роли.

lds1

После установки роли щелкните мастер настройки после развертывания в диспетчере серверов. LDS может устанавливаться двумя способами. Один как уникальный экземпляр, а другой как реплика существующего экземпляра. Опция реплики аналогична клонированию копии существующего экземпляра. Это особенно полезно в среде разработки, где инженеры могут поддерживать количество версий приложения.

lds2

В следующем окне мы можем определить имя и описание экземпляра LDS.

lds3

В следующем окне мы можем определить порт LDS. По умолчанию для порта LDAP установлено значение 389, а для порта SSL — 636. Если вы используете несколько экземпляров, их можно изменить соответствующим образом.

После этого мы можем создать раздел каталога приложений. Это позволяет приложениям использовать этот раздел в качестве репозитория данных для хранения данных, связанных с приложением. Если приложение способно создавать разделы, этот шаг необязателен и может создать соответствующий раздел в процессе развертывания приложения. При определении имени раздела приложения его необходимо указать в формате отличительного имени.

lds4

Следующий шаг — определить место для хранения файлов данных LDS. После этого он дает возможность указать учетную запись службы для LDS. Если это среда рабочей группы, вы можете использовать для нее учетную запись сетевой службы или локальную учетную запись пользователя. если его доменная среда, это может быть учетная запись пользователя AD.

lds5

После этого нам нужно определить учетную запись администратора AD LDS. По умолчанию выбирается учетная запись пользователя, которая использовалась для установки. При необходимости его можно изменить на другой аккаунт или группу.

После определения учетной записи администратора следующим шагом будет определение файла LDIF для импорта. Это текстовый файл, который представляет данные и команды, которые будут использоваться экземпляром LDAP. Он может содержать один или несколько файлов LDIF. Эти файлы зависят от требований приложения. Например, для функций пользователей соответствующий файл будет MS-User.LDF.

lds6

На этом установка AD LDS будет завершена, и после ее завершения мы сможем создать соответствующий объект и управлять им. Подключиться к нему можно двумя способами. один из способов — подключиться с помощью инструмента редактирования ADSI.

lds7

Объектами LDS также можно управлять с помощью командлетов PowerShell. Это те же команды, что и пользователи для AD DS, и единственная разница заключается в определении DN и сервера.

New-ADUser -name «tidris» -отображаемое имя «Talib Idris» -server «localhost:389» -path «CN=webapp01,DC=rebeladmin,DC=com»

Приведенная выше команда создаст учетную запись пользователя с именем tidris в локальном экземпляре LDS, работающем на 389. Его DNS-путь: «CN=webapp01,DC=rebeladmin,DC=com»

Get-ADUser -Filter * -SearchBase "CN=webapp01,DC=rebeladmin,DC=com" -server ‘localhost:389’

Приведенная выше команда выведет список всех учетных записей пользователей в экземпляре LDS CN=webapp01,DC=rebeladmin,DC=com

lds8

AD LDS также можно установить в настольной операционной системе с помощью функции функций Windows в разделе «Программы и компоненты». Шаги установки аналогичны серверной версии. после включения этой функции мастер установки может найти ее в разделе «Администрирование».

Эта статья основана на рекомендациях, которым необходимо следовать при внедрении Active Directory и ее аутентификации с помощью другого программного обеспечения при наличии единого входа. Итак, что на самом деле означает ldap? Протокол облегченного доступа к каталогам (LDAP) используется для чтения и записи в Active Directory. По умолчанию трафик LDAP передается незащищенным. Вы можете сделать трафик LDAP конфиденциальным и безопасным с помощью технологии Secure Sockets Layer (SSL) / Transport Layer Security (TLS). Вы можете включить LDAP через SSL (LDAPS), установив правильно отформатированный сертификат либо из центра сертификации (ЦС) Microsoft, либо из центра сертификации, отличного от Microsoft. поэтому в этом блоге я поделюсь своими знаниями о том, как настроить безопасное соединение LDAP на сервере 2016.

По умолчанию обмен данными между клиентом и серверным приложением не шифруется для LDAP, что означает возможность мониторинга устройства или программного обеспечения и просмотра обмена данными между клиентом LDAP и компьютерами-серверами. Но это не означает, что он может раскрывать аутентификацию или авторизацию Kerberos, SASL и даже NTLM, потому что у них есть свои собственные методы шифрования. Таким образом, только передача данных между клиентом и серверами может быть скомпрометирована. Поэтому давайте поработаем над защитой связи.

Порт, который LDAP использует для обычной связи, — TCP/UDP 389, тогда как для защищенной связи будет использоваться порт 636. Итак, сначала давайте узнаем, как это проверить.

Откройте свой компьютер, запустите, введите «ldp» и нажмите «ОК».


После этого откроется новое окно. В разделе «Подключение» нажмите «Подключиться» и укажите имя сервера и порт 636.


Итак, если вы видите такую ​​ошибку, это означает, что вы не настроили безопасный LDAP. Затем приступим к его настройке.


Настройка безопасного LDAP:

Чтобы настроить безопасный LDAP, нам сначала нужно установить Центр сертификации на нашем контроллере домена. Чтобы установить центр сертификации, следуйте этому блогу. После завершения установки Local CA откройте его. Щелкните правой кнопкой мыши «Шаблон сертификата» и выберите «Управление». В разделе «Действие» выберите «Просмотреть идентификаторы объектов».


Теперь прокрутите вниз и убедитесь, что у вас есть аутентификация сервера с идентификатором объекта 1.3.6.1.5.5.7.3.1, это то, что позволяет нам настроить безопасный ldap.


После проверки идентификатора объекта откройте «Консоль управления Microsoft» (MMC).


В «Консоли управления Microsoft (MMC)» «Добавление или удаление оснастки» с помощью сертификатов компьютера


Добавьте сертификат для локального компьютера и нажмите «ОК», как только это будет сделано.


После добавления локального сертификата разверните личный под сертификатами.


Вы увидите имя новой папки «Сертификаты», щелкните ее правой кнопкой мыши, перейдите к «Запросить новый сертификат» и выберите его.


Откроется новое окно для регистрации сертификата, нажмите «Далее».


В разделе «Выберите политику регистрации сертификатов» нажмите «Далее».


В разделе "Регистрация сертификата" выберите "Контроллер домена" и нажмите "Зарегистрировать".


Для установки «Сертификата домена» на контроллере домена потребуется некоторое время. После завершения нажмите «Готово».


Теперь вы можете увидеть сертификат, выданный вашему контроллеру домена, на странице сертификата.


Тестирование:

Убедившись, что сертификат установлен на вашем компьютере, попробуйте подключиться к нему, как мы делали это ранее


Если конфигурация правильная, вы получите такое сообщение на своей консоли LDP. В противном случае вам может потребоваться один раз перезагрузить компьютер.


Надеюсь, это был весьма полезный блог для интеграции аутентификации AD с вашим приложением с использованием безопасного канала. Продолжайте публиковать для любых комментариев J

Нужна помощь? Мы здесь!

success

Спасибо за ваш запрос.

Пошаговое руководство по настройке LDAPS на Windows Server Подключитесь к LDAPS, используя рекомендации miniOrange, чтобы настроить LDAP через SSL и установить безопасное соединение с сервером LDAP.

Защитите соединение сервера LDAP между клиентом и серверным приложением, чтобы зашифровать связь. В случае подключения с простой привязкой рекомендуется использовать SSL/TLS для обеспечения безопасности аутентификации, поскольку при простой привязке учетные данные пользователя отображаются в виде открытого текста.

Шаг 1. Установите центр сертификации, создайте и экспортируйте сертификат

1.1: Установите роль "Службы сертификатов Active Directory" через роли диспетчера серверов.

1.2: Создать шаблон сертификата

1.3: Шаблон выдачи сертификата

1.4: запросить новый сертификат для созданного шаблона сертификата

LDAPS в центре сертификации Windows Server

    Перейдите в Windows Key + R -> mmc -> Файл -> Добавить/удалить оснастку. Выберите «Сертификаты», нажмите кнопку «Добавить», а затем нажмите кнопку «ОК».

1.5: Экспорт созданного сертификата

Шаг 2. Настройте LDAPS на клиентском сервере

2.1: преобразование формата сертификата и установка сертификата с помощью OpenSSL

    Для Ubuntu:
      sudo apt-get установить openssl
      ням установить openssl

    2.2: Установите сертификат в хранилище ключей JAVA.

    • Выполните следующую команду, чтобы установить сертификат в cacerts.
    • Для Windows:
        keytool -importcert -alias "mOrangeLDAPS"
        -keystore "C:\Program Files\Java\jre1.8.0_231\lib\security\cacerts"
        -file "C:\Users\Administrator\Documents\ mOrangeLDAPS.cer"
        keytool -importcert -alias "mOrangeLDAPS"
        -keystore "/usr/java/jdk1.8.0_144/jre/lib/security/cacerts"
        -file "/home/mOrangeLDAPS.cer"

      Содержание

      Почему наши клиенты выбирают решения miniOrange Secure Identity?

      Поддержка 24/7

      miniOrange обеспечивает круглосуточную поддержку для всех решений Secure Identity Solutions. Мы гарантируем высокое качество поддержки, чтобы удовлетворить ваши потребности.

      Доступные цены

      miniorange предоставляет самые доступные решения для безопасной идентификации для всех типов случаев использования и предлагает различные пакеты в зависимости от требований заказчика.

      Мы предлагаем решения для безопасной идентификации для единого входа, двухфакторной аутентификации, адаптивной многофакторной аутентификации, подготовки и многого другого. Пожалуйста, свяжитесь с нами по адресу -

      Настройка облегченного протокола доступа к каталогам (LDAP) через соединение SSL, открытый порт 636/TCP на сервере AD/LDAP позволяет нашей панели управления выполнять аутентификацию и/или импортировать информацию о пользователях из уже установленной Active Directory. В зависимости от желаемого результата каждый вариант можно использовать одновременно или независимо друг от друга.

      Разбор настроек аутентификации LDAP и импорта пользователей

      Настройку LDAP для использования с нашим сервисом можно разбить на 3 основные части. Для каждого шага есть полные инструкции, чтобы убедиться, что ваша аутентификация LDAP и/или импорт пользователей LDAP работают правильно.

      Установка правильных правил брандмауэра Windows Server для подключения LDAP очень важна. Наши руководства покажут вам, как настроить соединение LDAPS (SSL/TLS или StartTLS) с использованием правила порта 636/TCP и установить правильные IP-адреса пограничного брандмауэра для нашего сервиса. Дополнительная информация

      Данные администратора (DN и пароль привязки) и Base DN необходимы для поиска сведений о пользователе, запрашиваемых после подключения. Для поиска информации об DN привязки администратора и базовом DN требуется всего несколько команд на сервере LDAP. Дополнительная информация

      Настройка и включение проверки подлинности LDAP и импорта пользователей LDAP упрощает управление учетной записью. Экономьте время и силы, используя уже установленную Active Directory для аутентификации и/или импорта пользователей. Дополнительная информация

      Руководства по установке и настройке LDAP

      Для каждой части настройки LDAP есть полные руководства, чтобы обеспечить безопасность и работоспособность аутентификации LDAP и/или импорта пользователей LDAP. Все примеры и инструкции были выполнены на Windows Server 2016, но эти шаги можно воспроизвести в Windows Server 2008r2 и более новых версиях до 2016.

      Настройки брандмауэра Windows Server LDAP

      Информация о сервере LDAP и пользователе

      Аутентификация LDAP и импорт пользователей LDAP

      24/7 онлайн-поддержка

      Наша служба технической поддержки также доступна 24 часа в сутки, 7 дней в неделю, 365 дней в неделю по телефону, в чате, по электронной почте или путем создания заявки в вашей учетной записи, чтобы помочь с любыми вопросами LDAP, связанными с нашими услугами. Свяжитесь с нами в любое время. Мы всегда здесь. 24/7/365.

      Читайте также: