Verwenden Sie LDAPS mit ADAM

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Die Standardkonfiguration für die userProxy- Objektauthentifizierung dient der Erzwingung der LDAPS-Kommunikation (sicheres LDAP). LDAPS erfordert SSL-Zertifikate, um den Netzwerkdatenverkehr zu sichern.

    Um diese Anforderung zu entfernen, führen Sie die folgende Änderung mithilfe der mit der Konfigurationspartition verbundenen ADSIEdit- Konsole durch.
    Object: CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration
Attribute: msDS-Other-Setings
Value: change RequiresSecureProxyBind from 1 (enforced) to 0 (disabled)

    Starten Sie den ADAM-Service neu, um die neue Einstellung zu verwenden.

    Um sichere Bindungen zu unterstützen und die übertragenen Anwender- und Passwortinformationen zu verschlüsseln, muss ein SSL-Zertifikat auf dem Server und einem beliebigen LDAP-Client installiert sein. Da der ADAM-Service nur begrenzte und kontrollierte Verwendungszwecke bietet, ist es möglich, ein selbstsigniertes Zertifikat zu verwenden, das die Anforderungen erfüllt, ohne dass Zertifikatkosten anfallen oder eine CA-Infrastruktur (Certificate Authority) aufgebaut wird. Wenn Sie bereits eine Zertifizierungsstelle haben, können Sie ein Zertifikat ausstellen. Andernfalls erstellen Sie ein selbstsigniertes Zertifikat.

    Erstellen eines selbstsignierten Zertifikats

    Zur Verwendung des Selfssl -Dienstprogramms müssen Internetinformationsdienste (IIS) installiert sein. Dieser Service kann entfernt werden, nachdem Sie das Zertifikat generiert haben. Sie können das Dienstprogramm „selfssl.exe“ aus dem IIS Resource Kit abrufen. Wenn IIS bereits installiert ist, erstellen Sie eine neue Website, damit die aktuellen Websites nicht von der Zertifikatgenerierung betroffen sind. SelfSSL muss das neue selbst ausgestellte Zertifikat vorübergehend an eine gültige Website anhängen.

    Selfssl ist ein Befehlszeilentool und verfügt über die folgenden allgemeinen Parameter.

    Tabelle : 1. Selfssl-Parameterbeschreibungen
    Parameter Beschreibung
    /T Fügt das Zertifikat zu „Vertrauenswürdige Zertifikate“ auf dem lokalen Computer hinzu
    /N:cn Legen Sie den allgemeinen Namen des Zertifikats fest. Dieser muss mit dem vollqualifizierten Domänennamen des Servers übereinstimmen, der den Webservice unter Verwendung des Zertifikats ausführt
    /K Legt die Stärke der Schlüsselgröße in Bit fest
    /V Anzahl der Tage, die das Zertifikat gültig ist
    /S ID der Website, an die das Zertifikat angehängt werden soll
    /S IP-Port des Webservice
    Das allgemeine Namensattribut muss mit dem externen Namen oder der Adresse übereinstimmen, die die Instanz für die Verbindung mit Ihrem ADAM-Computer verwendet. Sie müssen die Website-ID der IIS-Website abrufen, es sei denn, Sie verwenden die Standardwebsite 1, die nicht im Selfssl-Befehl definiert werden muss. Ein Beispielbefehl zum Generieren eines Zertifikats für myCompany wäre:
    selfssl /N:CN=myCompany.externaldomain.com /K:1024 /V:3650 /S:12345 /P:50001 /T

    Mit dieser Anweisung wird ein Zertifikat erstellt, das 10 Jahre lang gültig ist. Legen Sie den Wert auf eine beliebige Dauer fest. Beachten Sie jedoch, dass das neue Zertifikat generiert und an die Instanz übermittelt werden muss, bevor das alte abläuft. Wir empfehlen, das Ablaufdatum auf dem Zertifikat zu notieren.

    Sobald das Zertifikat generiert wurde, können Sie es von der Website entfernen oder die gesamte Website löschen, wenn Sie eine temporäre Website erstellt haben.