Verwenden Sie LDAPS mit ADAM

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Die Standardkonfiguration für UserProxy Die Objektauthentifizierung dient der Erzwingung der LDAPS-Kommunikation (Secure LDAP). LDAPS erfordert SSL-Zertifikate, um den Netzwerkverkehr zu sichern.

    Um diese Anforderung zu entfernen, nehmen Sie die folgende Änderung mit vor ADSIEdit Konsole, die mit der Konfigurationspartition verbunden ist.
    Object: CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration
Attribute: msDS-Other-Setings
Value: change RequiresSecureProxyBind from 1 (enforced) to 0 (disabled)

    Starten Sie den ADAM-Service neu, um die neue Einstellung zu verwenden.

    Um sichere Bindungen zu unterstützen und die übertragenen Anwender- und Passwortinformationen zu verschlüsseln, muss auf dem Server und einem beliebigen LDAP-Client ein SSL-Zertifikat installiert werden. Da der ADAM-Service eingeschränkt und kontrolliert genutzt wird, ist es möglich, ein selbst signiertes Zertifikat zu verwenden, das die Anforderungen erfüllt, ohne dass Zertifikatkosten anfallen oder eine Zertifizierungsstelle (Certificate Authority, CA) aufgebaut wird. Wenn Sie bereits eine ZERTIFIZIERUNGSSTELLE haben, können Sie ein Zertifikat ausstellen. Erstellen Sie andernfalls ein selbstsigniertes Zertifikat.

    Selbstsigniertes Zertifikat wird erstellt

    Zur Verwendung von selfssl Dienstprogramm, Internetinformationsservices (IIS) müssen installiert sein. Dieser Service kann entfernt werden, nachdem Sie das Zertifikat generiert haben. Sie können das Dienstprogramm selfssl.exe aus dem IIS-Ressourcenkit abrufen. Wenn IIS bereits installiert ist, erstellen Sie eine neue Website, damit die aktuellen Sites während der Zertifikatgenerierung nicht betroffen sind. SelfSSL muss das neue selbst ausgestellte Zertifikat vorübergehend an eine gültige Website anhängen.

    SelfSSL ist ein Befehlszeilentool mit den folgenden allgemeinen Parametern.

    Tabelle : 1. Selfssl-Parameterbeschreibungen
    Parameter Beschreibung
    /T Fügt das Zertifikat „vertrauenswürdige Zertifikate“ auf dem lokalen Computer hinzu
    /N:cn Legen Sie den allgemeinen Namen des Zertifikats fest. Dies muss mit dem vollqualifizierten Domänennamen des Servers übereinstimmen, der den Webservice mit dem Zertifikat ausführt
    /K Legt die Stärke der Schlüsselgröße in Bits fest
    /V Anzahl der Tage, die das Zertifikat gültig ist
    /S Website-ID, an die das Zertifikat angehängt werden soll
    /P IP-Port des Webservice
    Das allgemeine Namensattribut muss mit dem externen Namen oder der externen Adresse übereinstimmen, die die Instanz für die Verbindung mit Ihrem ADAM-Computer verwendet. Sie müssen die ID der IIS-Website abrufen, es sei denn, Sie verwenden die Standardwebsite 1, die nicht im Befehl „selfssl“ definiert werden muss. Ein Beispielbefehl zum Generieren eines Zertifikats für mein Unternehmen wäre:
    selfssl /N:CN=myCompany.externaldomain.com /K:1024 /V:3650 /S:12345 /P:50001 /T

    Mit dieser Anweisung wird ein Zertifikat erstellt, das 10 Jahre gültig ist. Legen Sie den Wert auf eine beliebige Dauer fest, beachten Sie jedoch, dass das neue Zertifikat generiert und an die Instanz übermittelt werden muss, bevor das alte abläuft. Wir empfehlen, das Ablaufdatum auf dem Zertifikat zu notieren.

    Sobald das Zertifikat generiert wurde, können Sie es von der Website entfernen oder die gesamte Website löschen, wenn Sie eine temporäre Website erstellt haben.