Verwenden Sie LDAPS mit ADAM

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Die Standardkonfiguration für die userProxy- Objektauthentifizierung besteht darin, die LDAPS-Kommunikation (sichere LDAP) zu erzwingen. LDAPS erfordert SSL-Zertifikate, um den Netzwerkverkehr zu sichern.

    Um diese Anforderung zu entfernen, nehmen Sie die folgende Änderung vor, indem Sie die ADSIEdit -Konsole verwenden, die mit der Konfigurationspartition verbunden ist.
    Object: CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration
Attribute: msDS-Other-Setings
Value: change RequiresSecureProxyBind from 1 (enforced) to 0 (disabled)

    Starten Sie den ADAM-Service neu, um die neue Einstellung zu verwenden.

    Um sichere Bindungen zu unterstützen und die übertragenen Benutzer- und Passwortinformationen zu verschlüsseln, muss auf dem Server und jedem LDAP-Client ein SSL-Zertifikat installiert sein. Da der ADAM-Service nur begrenzt und kontrolliert verwendet werden kann, ist es möglich, ein selbstsigniertes Zertifikat zu verwenden, das die Anforderungen erfüllt, ohne Zertifikatkosten zu verursachen oder eine Zertifizierungsstellen-Infrastruktur (CA) aufzubauen. Wenn Sie bereits eine Zertifizierungsstelle haben, können Sie ein Zertifikat ausstellen. Erstellen Sie andernfalls ein selbstsigniertes Zertifikat.

    Erstellen eines selbstsignierten Zertifikats

    Zur Verwendung des Dienstprogramms selfssl muss Internet Information Services (IIS) installiert sein. Dieser Service kann entfernt werden, nachdem Sie das Zertifikat generiert haben. Sie können das Dienstprogramm selfssl.exe aus dem IIS Resource Kit abrufen. Wenn IIS bereits installiert ist, erstellen Sie eine neue Website, damit die aktuellen Websites während der Zertifikatgenerierung nicht betroffen sind. SelfSSL muss das neue selbst ausgestellte Zertifikat vorübergehend an eine gültige Website anhängen.

    Selfssl ist ein Befehlszeilentool und verfügt über die folgenden allgemeinen Parameter.

    Tabelle : 1. Selfssl-Parameterbeschreibungen
    Parameter Beschreibung
    /T Fügt das Zertifikat zu „Vertrauenswürdige Zertifikate“ auf dem lokalen Computer hinzu
    /N:cn Legen Sie den allgemeinen Namen des Zertifikats fest. Dieser muss mit dem vollständig qualifizierten Domänennamen des Servers übereinstimmen, der den Webservice mit dem Zertifikat ausführt
    /K Legt die Stärke der Schlüsselgröße in Bits fest
    /V Anzahl der Tage, die das Zertifikat gültig ist
    /S ID der Website, an die das Zertifikat angehängt werden soll
    /P IP-Port des Webservice
    Das Attribut des allgemeinen Namens muss mit dem externen Namen oder der Adresse übereinstimmen, die die Instanz für die Verbindung mit Ihrem ADAM-Computer verwendet. Sie müssen die Site-ID der IIS-Website abrufen, es sei denn, Sie verwenden die Standardwebsite, die 1 ist und nicht im selfssl-Befehl definiert werden muss. Ein Beispielbefehl zum Generieren eines Zertifikats für myCompany wäre:
    selfssl /N:CN=myCompany.externaldomain.com /K:1024 /V:3650 /S:12345 /P:50001 /T

    Diese Anweisung erstellt ein Zertifikat, das 10 Jahre lang gültig ist. Legen Sie den Wert auf eine beliebige Dauer fest. Beachten Sie jedoch, dass das neue Zertifikat generiert und an die Instanz übermittelt werden muss, bevor das alte abläuft. Wir empfehlen, das Ablaufdatum auf dem Zertifikat zu notieren.

    Sobald das Zertifikat generiert wurde, können Sie es von der Website entfernen oder die gesamte Website löschen, wenn Sie eine temporäre Website erstellt haben.