Configurando a ligação do Active Directory local para LDAPS

Se os controladores de domínio do Active Directory local tiverem certificados de servidor que suportam ligações LDAP sobre SSL (LDAPS), então é preferível configurar o CentreStack para comunicar com os controladores de domínio usando LDAPS em oposição ao LDAPS porque a comunicação LDAPS é encriptada, onde o LDAP está em texto claro e susceptível de intercepção.

Certificados de servidor

Os controladores de domínio local do Active Directory devem ter certificados que suportem a comunicação LDAPS. Os requisitos estão documentados neste artigo de apoio da Microsoft: https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-third-party-certification-authority

LDAPS TCP Port 636

O servidor web CentreStack deve ter permissão para aceder aos controladores de domínio sobre TCP 636, a porta LDAPS. A porta LDAPS é TCP 389.

Configuração

  1. No painel de controlo CentreStack Tenant Dashboard clique no ícone da chave inglesa na secção Directório Activo Local:
    mceclip0.png
  2. Clique no botão Editar, depois active a opção Activar Integração do Directório Activo.
  3. Na caixa de texto Controlador de Domínio ou Endereço do Servidor LDAP introduza então o nome de domínio DNS do domínio AD seguido de “:636”, neste exemplo: t2.hadroncloud.com:636, depois especifique um nome de utilizador e palavra-passe. NOTA: Não é necessário um administrador de domínio porque todos os utilizadores têm normalmente acesso de leitura ao directório:
    mceclip1.png
  4. Clique no separador Definições Avançadas e depois active a opção Activar LDAPS para acesso seguro:
    mceclip2.png
  5. Clique em Aplicar no topo do ecrã. O sistema irá ligar-se ao Active Directory utilizando a nova configuração. Não deve haver erros reportados.
  6. Back in the Tenant Dashboard click Add New User.
  7. Click on the AD domain:
    mceclip3.png
  8. Objectos no domínio devem ser enumerados provando o funcionamento da ligação:
    mceclip4.png

Verify Certificates on Domain Controllers

Executar o snap-in dos certificados mmc.exe contra o Computador Local nos Controladores de Domínio. Num ambiente que utilize uma Autoridade de Certificação Microsoft para infra-estrutura de chave pública (PKI), deve ser um certificado de servidor com estas propriedades:
mceclip5.png

mceclip6.png

mceclip7.png

Probe TCP 636 no(s)Controlador(es)

Utiliza a ferramenta Microsoft SysInternals, psping.exe, para verificar se o servidor CentreStack pode aceder ao TCP 636 nos controladores de domínio. Uma vez descarregado e extraído o PsPing, iniciar um prompt de comando e executar um comando semelhante a este:

psping <domain_controller_fqdn>:636

Por exemplo:

psping T2BRADDC01.t2.hadroncloud.com:636

Resultados devem ter este aspecto:

TCP connect to 10.0.0.20:636:
5 iterations (warmup 1) ping test:
Connecting to 10.0.0.20:636 (warmup): from 10.0.0.29:57741: 0.37ms
Connecting to 10.0.0.20:636: from 10.0.0.29:57742: 0.43ms
Connecting to 10.0.0.20:636: from 10.0.0.29:57743: 0.25ms
Connecting to 10.0.0.20:636: from 10.0.0.29:57744: 0.50ms
Connecting to 10.0.0.20:636: from 10.0.0.29:57745: 0.40ms
TCP connect statistics for 10.0.0.20:636:
Sent = 4, Received = 4, Lost = 0 (0% loss),
Minimum = 0.25ms, Maximum = 0.50ms, Average = 0.39ms

Se vir resultados diferentes dos acima referidos, há uma boa probabilidade de uma firewall estar a bloquear o TCP 636 ao(s) controlador(es) de domínio.

Teste Com ldp.exe

No servidor CentreStack execute este comando numa sessão PowerShell elevada:

Install-WindowsFeature RSAT-ADDS-Tools

Esta irá instalar a ferramenta ldp.exe e outras ferramentas de gestão do Active Directory no servidor CentreStack.

Launch ldp.exe

No menu Connection clique em Connect…
mceclip8.png

  • Na caixa de texto Servidor especifique o nome de domínio DNS
  • Na caixa de texto Porta use 626
  • Enable the SSL option:
    mceclip9.png

Após clicar no botão OK no diálogo Ligar, os resultados da ligação serão exibidos em ldp.exe:

mceclip11.pngmceclip11.png

Se este erro for exibido em ldp.exe, significa geralmente que existe um problema de certificado:

mceclip0.png

Nesse caso, isto pode ser registado no log de eventos do Sistema:

Log Name: System
Source: Schannel
Date: 12/10/2019 3:06:48 PM
Event ID: 36882
Task Category: None
Level: Error
Keywords:
User: TXBRCSTK02\JeffR
Computer: TXBRCSTK02
Description:
The certificate received from the remote server was issued by an untrusted certificate authority. Because of this, none of the data contained in the certificate can be validated. The TLS connection request has failed. The attached data contains the server certificate.

A “autoridade certificadora não confiável” significa geralmente que a Autoridade Certificadora (AC) que emitiu o certificado não é de confiança do servidor CentreStack. Isto é muito típico se a AC for uma AC interna privada e o CentreStack não estiver ligado ao domínio (ou seja, computador do grupo de trabalho na rede perimetral).

No CentreStack, este problema será apresentado com este sintoma:
mceclip1.png

p>O erro é: Configuração não pode ser verificada:Configuração não pode ser verificada:Erro desconhecido (0x80005000)

Isto também fará com que Schannel registe o mesmo ID de Evento: 36882.

Para que o CentreStack possa confiar no certificado da AC, será normalmente necessário importá-lo para o nó Autoridades de Certificação de Raiz Fidedigna no snap-in do certificado mmc.exe, conforme mostrado aqui:

mceclip2.png

Informação adicional

Assumindo que ldp.exe é capaz de fazer a ligação LDAPS pode também usá-la para verificar se a ligação pode ser feita usando as credenciais usadas na configuração AD do CentreStack:

No menu Ligação clique em Bind:
mceclip12.png

Activar a opção Bind com credenciais, depois especificar o utilizador e palavra-chave:

mceclip13.png

NOTE: O campo Domínio pode estar vazio ao utilizar um utilizadorPrincipalName

Os resultados da ligação serão mostrados em ldp.exe:
mceclip14.png

Para navegar na árvore, prima Ctrl+T (ou View > Tree), depois introduza a BaseDN da raiz do domínio:
mceclip15.png

ldp.exe mostrará a árvore no painel mais à esquerda:
mceclip16.png

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *