web-dev-qa-db-ja.com

ドメインコントローラーに証明書サービス(エンタープライズルートCA)をインストールすると、LDAPSは自動的に有効になりますか?

この記事を読む: https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc

最初の方法が最も簡単です。ドメインコントローラーにエンタープライズルートCAをインストールすると、LDAPSが自動的に有効になります。 AD-CSロールをインストールし、セットアップのタイプをDCで「エンタープライズ」として指定すると、フォレスト内のすべてのDCは、LDAPSを受け入れるように自動的に構成されます。

本当?単一のDCに証明書サービスをインストールすると、ドメイン内のすべてのDCがLDAPSを受け入れますか?それらはすべて自動的に証明書に登録されますか、それともすべてのLDAPS要求はルートCAがインストールされた状態でDCに戻されますか? DCからルートCAをアンインストールするとどうなりますか?

ルートCAをDCにインストールするだけの場合、LDAPを有効にする必要がありますか?

私はセキュリティへの影響を理解していますが、私の小さな環境ではこれが望ましい方法です。

windowsactive-directorywindows-server-2012-r2ad-certificate-services
1
red888

一般的な回答

一般的に言えば、はい、LDAPSプロトコル(:636)とLDAPプロトコル(:389)のファイアウォールアクセスなどのネットワーク関連の構成を除きます。

標準のActiveDirectory統合認証局のインストールでは、ドメインコントローラーには、サーバー認証を含むドメインコントローラー証明書テンプレートに基づく証明書が発行されますOID目的として。これを含む有効な証明書= OIDは、Schannelサービスによって自動的に取得され、LDAPS(:636)にバインドされます。

この証明書を削除するか、適切なサーバー認証証明書がない場合、警告イベントがSchannelソースの下のイベントビューアのセキュリティログに毎秒記録されます。

サブジェクト代替名のサポート

一般的な注意点は、LDAPS証明書の適切なサブジェクト代替名のサポートが必要なことです。デフォルトのドメインコントローラー証明書テンプレートには、証明書SANの名前が含まれていません。domain.comという名前のドメインコントローラーがある場合dc1.domain.com =およびdc2.domain.comの場合、domain.comへのLDAPS(:636)呼び出しは、応答するドメインコントローラーの証明書を使用して返されます(dc1 .domain.comまたはdc2.domain.com)。多くのアプリケーションとプロトコルは、これをセキュリティの脅威およびエラーとして扱います。

SAN LDAPSのサポートを有効にする

  1. ドメインコントローラーで標準で発行されたドメインコントローラー証明書を取り消して削除します。
  2. ドメインコントローラーテンプレートのセキュリティが読み取りアクセス許可を許可するようにマークされていることを確認しますが、ドメインコントローラー、エンタープライズドメインコントローラー、および読み取り専用ドメインコントローラーの登録および/または自動登録のアクセス許可を削除します。
  3. サーバー認証OIDなどが含まれているKerberos認証テンプレートを複製します。
    • このテンプレートでキーのエクスポートが許可されていること、およびサブジェクト名がActive Directoryから作成されていないが、要求内で提供されるようにマークされていることを確認してください。
    • 証明書テンプレートのセキュリティで、ドメインコントローラー、エンタープライズドメインコントローラー、および読み取り専用ドメインコントローラーが読み取りと登録の両方を許可していることを確認します。
  4. 新しく作成した証明書テンプレートを公開します。
  5. 各ドメインコントローラーにログオンし、テンプレートから新しい証明書を要求し、名前付け情報として以下を設定します(例はdc1.domain.com):
    • 一般名:dc1.domain.com
    • SAN:dc1.domain.comdc1domain.com、およびdomain
  6. 各ドメインコントローラーを再起動し(常に必要というわけではありませんが、適切な方法で)、イベントビューアーのセキュリティチャネルが適切な証明書が見つからないという警告をスローしなくなったことを確認します。

ボーナス情報

LDAPS接続を内部ですばやく確認するにはどうすればよいですか?

  1. ドメインコントローラーにログオンします。
  2. LDP.exeを起動します。
  3. ドメインコントローラー名、IPアドレス、またはドメイン名自体への新しい接続を開きます。
    • ポート:636
    • SSL:チェック
  4. 結果は、接続したかどうか、およびどのドメインコントローラーのコンテキストに接続したかを通知します。

現在のSchannel/LDAPS証明書をすばやく確認するにはどうすればよいですか?

  1. OpenSSLをダウンロードおよび/またはアクセスします。
  2. openssl.exe -s_client domain.com:636
  3. 接続が正常に開かれた場合、ログの最初の部分に接続の詳細が表示されます。
  4. -----BEGIN CERTIFICATE...から...END CERTIFICATE-----セクション全体をコピーします。
  5. これをメモ帳に貼り付けて、certificate.cerとして保存します。
  6. certificate.cerを開いて、Schannel/LDAPSが提示している証明書を確認します。

LDAPS(:636)を使用する場合すべてのLDAP(:389)トラフィックをブロックできますか?

はいといいえ。はい;すべての南北トラフィック(内部と外部の間)でLDAP(:389)をブロックできます。番号; East-Westトラフィック(内部と内部の間)でLDAP(:389)をブロックすることはできません。 LDAP(:389)は、ActiveDirectoryの特定のレプリケーション機能にとって重要です。これらのアクティビティは、Kerberosの署名および封印を使用して保護されます。

正確な手順やスクリーンショットが不足していることをお詫びします。現時点では、それらを供給する環境ではありません。

2
Cale Vernon