כיצד אוכל להגדיר עבודה ב- LDAP over SSL?

כיצד אוכל להגדיר עבודה ב- LDAP over SSL?

הקדמה

כברירת מחדל, פרוטוקול ה- LDAP הינו פרוטוקול שאינו מוצפן, ומאפשר תעבורה בטקסט פשוט (Clear text). ניתן להצפין את תעבורת פרוטוקול ה- LDAP באמצעות טכנולוגיית SSL/TLS. מאמר זה מסביר כיצד לבצע זאת צעד-אחר-צעד בסביבת Windows Server 2012 R2 Active Directory.

 להגדרת העבודה עם תשתית LDAP over SSL (או LDAPS בקצרה) נדרשים הרכיבים הבאים:

  1. תשתית Public Key Infrastructure (PKI)
  2. תשתית Active Directory Domain Services

 במאמר הנ”ל, אבצע שימוש בתשתית Windows Server 2012 R2 Active Directory Domain & Certificate Services.

 ראשית, נתחבר לשרת ה- Certification Authority (או CA בקצרה) אשר מנפיק תעודות (בתשתית PKI המורכבת ממספר שרתי CA מדובר ב- Issuing CA), ונפעל לפי הצעדים הבאים:

  1. תחת Administrative Tools נבחר ב- Certification Authority.

     

  2. בחלון שיפתח לפנינו, ננווט אל Certificate Templates ובאמצעות מקש עכבר ימני על Certificate Templates נבחר מהתפריט שיפתח לפנינו ב- Manage.

     

     נבחר ב- Kerberos Authentication מרשימת התעודות, ובאמצעות מקש עכבר ימני על התעודה, נבחר ב- Duplicate Template.

     

     תחת לשונית General נעניק שם לתעודה, בדוגמא הנ”ל LDAPoverSSLTLS. בנוסף, נוכל להחליט אם ברצוננו לאפשר לתעודה זו לפרסם את עצמה ב- Active Directory.

     

     כעת, ניגש ללשונית Request Handling ונסמן בה את האפשרות Allow private key to be exported. הסיבה לסימון האפשרות לייצוא ה- Private Key מיועדת לצורך ייצוא התעודה עם ה- Private Key והטמעתו בציוד נוסף אשר ברצוננו לאפשר התקשרות ב- LDAPS, כדוגמת מתגי תקשורת מנוהלים, התקני אחסון וכיוצא בזה.

     

     ניתן להגדיר הגדרות נוספות בהתאם לצורך, אך לצורך מאמר זה ההגדרות הנ”ל מספיקות. נלחץ על OK לסיום.

  3. נחזור למסך ה- Certification Authority ותחת Certificate Templates נבחר באמצעות מקש עכבר ימני מן התפריט ב- New > Certificate Template to Issue.

     

     כעת, נבחר בחלון שיפתח לפנינו ב- LDAPoverSSLTLS שיצרנו מבעוד מועד, ונלחץ על OK.

     

     כעת, נבצע Logon ל- Domain Controller, ונפתח את ה- mmc דרך שורת ההפעלה.

     

     נלחץ על File ונבחר ב- Add/Remove Snap-in.

     

     בחלון שיפתח לפנינו, נבחר ב- Certificates ונלחץ על Add.

     

     נבחר ב- Computer account ונלחץ על Next.

     

     נבחר ב- Local Computer ולחץ על Finish.

     

     נרחיב את Certificates וננווט אל Personal > Certificates. משם, באמצעות מקש עכבר ימני על מקום ריק נבחר בתפריט שיפתח ב- All Tasks > Request New Certificate.

     

     נלחץ על Next.

     

     נבחר ב- Active Directory Enrollment Policy ונלחץ על Next.

     

     נסמן ב- V את LDAPoverSSLTLS ונלחץ על Enroll.

     

     כעת, התעודה תונפק. נוכל ללחוץ על View Certificate על-מנת לצפות בה.

     

     

     בדיקת עבודה ב- LDAP over SSL מול Domain Controller

על-מנת לבדוק כי ניתן אכן לעבוד בתצורת LDAPS מול Domain Controller, נפתח את כלי ה- LDP.exe משרת ב- Domain.

נבחר ב- Connections > Connect.

 

 כעת, נזין את שם ה- DC ונסמן ב- V את האפשרות ל- SSL ונשנה את ה- Port ל- 636 ונלחץ על OK.

 

 כעת, נוכל לראות כי אנו מצליחים לגשת ל- DC.

 

 הערות

  1. במידה ואינם משתמשים בגרסת Windows Server 2012 Standard ומעלה ל- CA הארגוני, וודאו כי הינכם משתמשים בגרסא התומכת ביצירה ופרסום של Certificate Templates כדוגמת Windows Server 2008 R2 Enterprise Edition.
  2. במאמר הנ”ל עשיתי שימוש ב- Enterprise PKI, במידה והינכם עובדים עם Standard PKI יש לבצע תהליך Publish של ה- CA Chain בצורה מסודרת.
  3. קיימים התקנים וציוד מבוסס רשת אשר אינו תומך ב- LDAPS, מומלץ למפות את הרשת הארגונית טרם ביצוע הגדרות אלו, אשר יכולות להשליך על היעדר גישה ל- Directory Services.
  4. כל האמור לעיל במאמר זה, באתר ובכלל, באחריות הקורא בלבד, ובאחריותו לבצע בדיקת תאימות לרכיבים החברים ברשת לתאימות עבודה מול LDAPS.

תודה רבה נתנאל בן-שושן

Leave a Reply

Your email address will not be published. Required fields are marked *


CAPTCHA Image
Reload Image

This site uses Akismet to reduce spam. Learn how your comment data is processed.
WhatsApp Logo IT World