Uso de LDAPS com ADAM

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • A configuração-padrão para autenticação de objeto userProxy é impor comunicações LDAPS (LDAP seguro). O LDAPS requer certificados SSL para proteger o tráfego da rede.

    Para remover este requisito, faça a seguinte mudança usando o console ADSIEdit conectado à partição de configuração.
    Object: CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration
Attribute: msDS-Other-Setings
Value: change RequiresSecureProxyBind from 1 (enforced) to 0 (disabled)

    Reinicie o serviço do ADAM para usar a nova configuração.

    Para oferecer suporte a vinculações seguras e criptografar as informações de usuário e senha que estão sendo transmitidas, um certificado SSL deve ser instalado no servidor e em qualquer cliente LDAP. Como há usos limitados e controlados para o serviço do ADAM, é viável usar um certificado autoassinado que atenderia às necessidades sem incorrer em custos de certificação ou criar uma infraestrutura de autoridade de certificação (CA). Se você já tiver uma CA, poderá emitir um certificado. Caso contrário, crie um certificado autoassinado.

    Criação de um certificado autoassinado

    Para usar o utilitário selfssl, o Serviço de informações da Internet (IIS) deve estar instalado. Este serviço pode ser removido depois que o certificado for gerado. É possível obter o utilitário selfssl.exe no IIS Resource Kit. Se o IIS já estiver instalado, crie um novo site para que os sites atuais não sejam afetados durante a geração do certificado. Selfssl precisa anexar temporariamente o novo certificado emitido por conta própria a um site válido.

    Selfssl é uma ferramenta de linha de comando e tem os seguintes parâmetros comuns.

    Tabela 1. Descrições dos parâmetros selfssl
    Parâmetro Descrição
    /T Adiciona o certificado aos "Certificados confiáveis" na máquina local
    /N:cn Define o nome comum do certificado. Ele deve corresponder ao nome do domínio totalmente qualificado do servidor que executa o serviço Web usando o certificado
    /K Define a força do tamanho da chave em bits
    /V Número de dias pelos quais o certificado é válido
    /S ID do site ao qual o certificado será anexado
    /P Porta IP do serviço Web
    O atributo de nome comum deve corresponder ao nome ou endereço externo usado pela instância para se conectar ao computador ADAM. Será necessário obter a ID do site do site do IIS, a menos que o site-padrão, que é 1, esteja em uso e não precise ser definido no comando selfssl. Um exemplo de comando para gerar um certificado para myCompany seria:
    selfssl /N:CN=myCompany.externaldomain.com /K:1024 /V:3650 /S:12345 /P:50001 /T

    Esta declaração cria um certificado válido por 10 anos. Defina o valor com qualquer duração, mas esteja ciente de que o novo certificado deve ser gerado e enviado para a instância antes que o antigo expire. Recomendamos anotar a data de vencimento no certificado.

    Depois que o certificado for gerado, será possível removê-lo do site ou excluir o site por completo caso um site temporário tenha sido criado.