Självstudie: Konfigurera säkert LDAP för en Azure Active Directory Domain Services hanterad domän

  • Artikel
  • 15 minuter för att läsa

Lightweight Directory Access Protocol (LDAP) används för att kommunicera med din hanterade domän med Azure Active Directory Domain Services (Azure AD DS). Som standard krypteras inte LDAP-trafiken, vilket är ett säkerhetsproblem för många miljöer.

Med Azure AD DS kan du konfigurera den hanterade domänen så att den använder säkert Lightweight Directory Access Protocol (LDAPS). När du använder säker LDAP krypteras trafiken. Secure LDAP kallas även LDAP över Secure Sockets Layer (SSL)/TLS (Transport Layer Security).

Den här självstudien visar hur du konfigurerar LDAPS för en Azure AD DS-hanterad domän.

I den här guiden får du lära dig att:

  • Skapa ett digitalt certifikat för användning med Azure AD DS
  • Aktivera säkert LDAP för Azure AD DS
  • Konfigurera säkert LDAP för användning via offentligt Internet
  • Binda och testa säker LDAP för en hanterad domän

Om du inte har någon Azure-prenumeration skapar du ett konto innan du börjar.

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

Logga in på Azure Portal

I den här självstudien konfigurerar du säkert LDAP för den hanterade domänen med hjälp av Azure Portal. Kom igång genom att först logga in på Azure Portal.

Skapa ett certifikat för säkert LDAP

Om du vill använda säkert LDAP används ett digitalt certifikat för att kryptera kommunikationen. Det här digitala certifikatet tillämpas på din hanterade domän och låter verktyg som LDP.exe använda säker krypterad kommunikation när du frågar efter data. Det finns två sätt att skapa ett certifikat för säker LDAP-åtkomst till den hanterade domänen:

  • Ett certifikat från en offentlig certifikatutfärdare (CA) eller en företagscertifikatutfärdare.
    • Om din organisation får certifikat från en offentlig certifikatutfärdare hämtar du det säkra LDAP-certifikatet från den offentliga certifikatutfärdare. Om du använder en företagscertifikatutfärdare i din organisation hämtar du det säkra LDAP-certifikatet från företagscertifikatutfärdare.
    • En offentlig certifikatmottagare fungerar bara när du använder ett anpassat DNS-namn med din hanterade domän. Om DNS-domännamnet för din hanterade domän slutar med .onmicrosoft.com kan du inte skapa ett digitalt certifikat för att skydda anslutningen till den här standarddomänen. Microsoft äger domänen .onmicrosoft.com , så en offentlig certifikatutfärdare utfärdar inget certifikat. I det här scenariot skapar du ett självsignerat certifikat och använder det för att konfigurera säkert LDAP.
  • Ett självsignerat certifikat som du skapar själv.
    • Den här metoden är bra i testsyfte och är vad den här självstudien visar.

Certifikatet som du begär eller skapar måste uppfylla följande krav. Din hanterade domän stöter på problem om du aktiverar säkert LDAP med ett ogiltigt certifikat:

  • Betrodd utfärdare – Certifikatet måste utfärdas av en utfärdare som är betrodd av datorer som ansluter till den hanterade domänen med hjälp av säkert LDAP. Den här utfärdaren kan vara en offentlig certifikatutfärdare eller en företagscertifikatutfärdare som är betrodd av dessa datorer.
  • Livslängd – Certifikatet måste vara giltigt i minst de kommande 3–6 månaderna. Säker LDAP-åtkomst till din hanterade domän avbryts när certifikatet upphör att gälla.
  • Ämnesnamn – Certifikatets ämnesnamn måste vara din hanterade domän. Om din domän till exempel heter aaddscontoso.com måste certifikatets ämnesnamn vara *.aaddscontoso.com.
    • Dns-namnet eller det alternativa ämnesnamnet för certifikatet måste vara ett jokerteckencertifikat för att säkerställa att det säkra LDAP fungerar korrekt med Azure AD Domain Services. Domänkontrollanter använder slumpmässiga namn och kan tas bort eller läggas till för att säkerställa att tjänsten förblir tillgänglig.
  • Nyckelanvändning – Certifikatet måste konfigureras för digitala signaturer och nyckelchiffrering.
  • Certifikatsyfte – Certifikatet måste vara giltigt för TLS-serverautentisering.

Det finns flera verktyg för att skapa självsignerade certifikat, till exempel OpenSSL, Keytool, MakeCert, New-SelfSignedCertificate-cmdlet osv.

I den här självstudien ska vi skapa ett självsignerat certifikat för säkert LDAP med hjälp av cmdleten New-SelfSignedCertificate .

Öppna ett PowerShell-fönster som administratör och kör följande kommandon. Ersätt variabeln $dnsName med DNS-namnet som används av din egen hanterade domän, till exempel aaddscontoso.com:

# Define your own DNS name used by your managed domain
$dnsName="aaddscontoso.com"

# Get the current date to set a one-year expiration
$lifetime=Get-Date

# Create a self-signed certificate for use with Azure AD DS
New-SelfSignedCertificate -Subject *.$dnsName `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName

Följande exempelutdata visar att certifikatet har genererats och lagras i det lokala certifikatarkivet (LocalMachine\MY):

PS C:\WINDOWS\system32> New-SelfSignedCertificate -Subject *.$dnsName `
>>   -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
>>   -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName.com

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\MY

Thumbprint                                Subject
----------                                -------
959BD1531A1E674EB09E13BD8534B2C76A45B3E6  CN=aaddscontoso.com

Förstå och exportera nödvändiga certifikat

Om du vill använda säker LDAP krypteras nätverkstrafiken med hjälp av PKI (Public Key Infrastructure).

  • En privat nyckel tillämpas på den hanterade domänen.
    • Den här privata nyckeln används för att dekryptera den säkra LDAP-trafiken. Den privata nyckeln ska endast tillämpas på den hanterade domänen och inte distribueras i stor utsträckning till klientdatorer.
    • Ett certifikat som innehåller den privata nyckeln använder . PFX-filformat .
    • När du exporterar certifikatet måste du ange krypteringsalgoritmen TripleDES-SHA1 . Detta gäller endast pfx-filen och påverkar inte algoritmen som används av själva certifikatet. Observera att alternativet TripleDES-SHA1 endast är tillgängligt från och med Windows Server 2016.
  • En offentlig nyckel tillämpas på klientdatorerna.
    • Den här offentliga nyckeln används för att kryptera den säkra LDAP-trafiken. Den offentliga nyckeln kan distribueras till klientdatorer.
    • Certifikat utan den privata nyckeln använder . CER-filformat .

Dessa två nycklar, de privata och offentliga nycklarna, ser till att endast lämpliga datorer kan kommunicera med varandra. Om du använder en offentlig certifikatutfärdare eller företagscertifikatutfärdare får du ett certifikat som innehåller den privata nyckeln och som kan tillämpas på en hanterad domän. Den offentliga nyckeln bör redan vara känd och betrodd av klientdatorer.

I den här självstudien har du skapat ett självsignerat certifikat med den privata nyckeln, så du måste exportera lämpliga privata och offentliga komponenter.

Exportera ett certifikat för Azure AD DS

Innan du kan använda det digitala certifikatet som skapades i föregående steg med din hanterade domän exporterar du certifikatet till en . PFX-certifikatfil som innehåller den privata nyckeln.

  1. Öppna dialogrutan Kör genom att välja Windows + R-tangenterna .

  2. Öppna Microsoft Management Console (MMC) genom att ange mmc i dialogrutan Kör och välj sedan OK.

  3. I kommandotolken User Account Control väljer du Ja för att starta MMC som administratör.

  4. Välj Lägg till/ta bort snapin-modul på Arkiv-menyn...

  5. I guiden Snapin-modul för certifikat väljer du Datorkonto och sedan Nästa.

  6. På sidan Välj dator väljer du Lokal dator: (datorn som den här konsolen körs på)och väljer sedan Slutför.

  7. I dialogrutan Lägg till eller ta bort snapin-moduler väljer du OK för att lägga till snapin-modulen för certifikat i MMC.

  8. Expandera Konsolrot i MMC-fönstret. Välj Certifikat (lokal dator) och expandera sedan noden Personligt följt av noden Certifikat .

    Öppna det personliga certifikatarkivet i Microsoft Management Console

  9. Det självsignerade certifikatet som skapades i föregående steg visas, till exempel aaddscontoso.com. Högerklicka på det här certifikatet och välj sedan Exportera alla aktiviteter > ...

    Exportera certifikat i Microsoft Management Console

  10. I guiden Exportera certifikat väljer du Nästa.

  11. Den privata nyckeln för certifikatet måste exporteras. Om den privata nyckeln inte ingår i det exporterade certifikatet misslyckas åtgärden för att aktivera säkert LDAP för din hanterade domän.

    På sidan Exportera privat nyckel väljer du Ja, exporterar den privata nyckeln och väljer sedan Nästa.

  12. Hanterade domäner stöder endast . PFX-certifikatfilformat som innehåller den privata nyckeln. Exportera inte certifikatet som . CER-certifikatfilformat utan den privata nyckeln.

    På sidan Exportera filformat väljer du Personal Information Exchange – PKCS #12 (. PFX) som filformat för det exporterade certifikatet. Markera kryssrutan för Inkludera alla certifikat i certifieringssökvägen om det är möjligt:

    Välj alternativet för att exportera certifikatet i PKCS 12 (. PFX)-filformat

  13. Eftersom det här certifikatet används för att dekryptera data bör du noggrant kontrollera åtkomsten. Ett lösenord kan användas för att skydda användningen av certifikatet. Utan rätt lösenord kan certifikatet inte tillämpas på en tjänst.

    På sidan Säkerhet väljer du alternativet lösenord för att skydda . PFX-certifikatfil . Krypteringsalgoritmen måste vara TripleDES-SHA1. Ange och bekräfta ett lösenord och välj sedan Nästa. Det här lösenordet används i nästa avsnitt för att aktivera säker LDAP för din hanterade domän.

    Om du exporterar med powershell-cmdleten export-pfxcertificate måste du skicka flaggan -CryptoAlgorithmOption med hjälp av TripleDES_SHA1.

    Skärmbild av hur du krypterar lösenordet

  14. På sidan Fil som ska exporteras anger du filnamnet och platsen där du vill exportera certifikatet, till exempel C:\Users\accountname\azure-ad-ds.pfx. Anteckna lösenordet och platsen för . PFX-fil eftersom den här informationen skulle krävas i nästa steg.

  15. På granskningssidan väljer du Slutför för att exportera certifikatet till en . PFX-certifikatfil . En bekräftelsedialogruta visas när certifikatet har exporterats.

  16. Låt MMC vara öppet för användning i följande avsnitt.

Exportera ett certifikat för klientdatorer

Klientdatorer måste lita på utfärdaren av det säkra LDAP-certifikatet för att kunna ansluta till den hanterade domänen med hjälp av LDAPS. Klientdatorerna behöver ett certifikat för att kryptera data som dekrypteras av Azure AD DS. Om du använder en offentlig certifikatutfärdare bör datorn automatiskt lita på dessa certifikatutfärdare och ha ett motsvarande certifikat.

I den här självstudien använder du ett självsignerat certifikat och genererade ett certifikat som innehåller den privata nyckeln i föregående steg. Nu ska vi exportera och sedan installera det självsignerade certifikatet i det betrodda certifikatarkivet på klientdatorn:

  1. Gå tillbaka till det personliga > certifikatarkivet för MMC för certifikat (lokal dator). > Det självsignerade certifikatet som skapades i ett tidigare steg visas, till exempel aaddscontoso.com. Högerklicka på det här certifikatet och välj sedan Exportera alla aktiviteter > ...

  2. I guiden Exportera certifikat väljer du Nästa.

  3. Eftersom du inte behöver den privata nyckeln för klienter väljer du Nej på sidan Exportera privat nyckel, exportera inte den privata nyckeln och väljer sedan Nästa.

  4. På sidan Exportera filformat väljer du Base-64-kodad X.509 (. CER) som filformat för det exporterade certifikatet:

    Välj alternativet för att exportera certifikatet i Base-64-kodade X.509 (. CER)-filformat

  5. På sidan Fil som ska exporteras anger du filnamnet och platsen där du vill exportera certifikatet, till exempel C:\Users\accountname\azure-ad-ds-client.cer.

  6. På granskningssidan väljer du Slutför för att exportera certifikatet till en . CER-certifikatfil . En bekräftelsedialogruta visas när certifikatet har exporterats.

. CER-certifikatfilen kan nu distribueras till klientdatorer som behöver lita på den säkra LDAP-anslutningen till den hanterade domänen. Nu ska vi installera certifikatet på den lokala datorn.

  1. Öppna Utforskaren och bläddra till den plats där du sparade . CER-certifikatfil, till exempel C:\Users\accountname\azure-ad-ds-client.cer.

  2. Högerklicka på . CER-certifikatfil och välj sedan Installera certifikat.

  3. I guiden Importera certifikat väljer du att lagra certifikatet på den lokala datorn och väljer sedan Nästa:

    Välj alternativet för att importera certifikatet till det lokala datorarkivet

  4. När du uppmanas väljer du Ja för att tillåta att datorn gör ändringar.

  5. Välj att Automatiskt välja certifikatarkiv baserat på typ av certifikat och välj sedan Nästa.

  6. På granskningssidan väljer du Slutför för att importera . CER-certifikat . file En bekräftelsedialogruta visas när certifikatet har importerats.

Aktivera säkert LDAP för Azure AD DS

När ett digitalt certifikat har skapats och exporterats som innehåller den privata nyckeln, och klientdatorn är inställd på att lita på anslutningen, aktiverar du nu säker LDAP på din hanterade domän. Utför följande konfigurationssteg för att aktivera säkert LDAP på en hanterad domän:

  1. I Azure Portal anger du domäntjänster i rutan Sök efter resurser. Välj Azure AD Domain Services i sökresultatet.

  2. Välj din hanterade domän, till exempel aaddscontoso.com.

  3. Välj Säker LDAP till vänster i Azure AD DS-fönstret.

  4. Som standard är säker LDAP-åtkomst till din hanterade domän inaktiverad. Växla Säker LDAP till Aktivera.

  5. Säker LDAP-åtkomst till din hanterade domän via Internet är inaktiverad som standard. När du aktiverar offentlig säker LDAP-åtkomst är domänen sårbar för råstyrkeattacker med lösenord via Internet. I nästa steg konfigureras en nätverkssäkerhetsgrupp för att låsa åtkomsten till endast de ip-adressintervall som krävs för källan.

    Växla Tillåt säker LDAP-åtkomst via Internet till Aktivera.

  6. Välj mappikonen bredvid . PFX-fil med säkert LDAP-certifikat. Bläddra till sökvägen till . PFX-fil och välj sedan certifikatet som skapades i ett tidigare steg som innehåller den privata nyckeln.

    Viktigt

    Som du antecknade i föregående avsnitt om certifikatkrav kan du inte använda ett certifikat från en offentlig certifikatutfärdare med standarddomänen .onmicrosoft.com . Microsoft äger domänen .onmicrosoft.com , så en offentlig certifikatutfärdare utfärdar inget certifikat.

    Kontrollera att certifikatet har rätt format. Om den inte är det genererar Azure-plattformen certifikatverifieringsfel när du aktiverar säkert LDAP.

  7. Ange lösenordet för att dekryptera . PFX-fil som angavs i ett tidigare steg när certifikatet exporterades till en . PFX-fil .

  8. Välj Spara för att aktivera säkert LDAP.

    Aktivera säkert LDAP för en hanterad domän i Azure Portal

Ett meddelande visas om att säker LDAP konfigureras för den hanterade domänen. Du kan inte ändra andra inställningar för den hanterade domänen förrän den här åtgärden har slutförts.

Det tar några minuter att aktivera säker LDAP för din hanterade domän. Om det säkra LDAP-certifikatet som du anger inte matchar de nödvändiga kriterierna misslyckas åtgärden för att aktivera säkert LDAP för den hanterade domänen.

Några vanliga orsaker till fel är om domännamnet är felaktigt, krypteringsalgoritmen för certifikatet inte är TripleDES-SHA1 eller om certifikatet upphör snart eller redan har upphört att gälla. Du kan återskapa certifikatet med giltiga parametrar och sedan aktivera säkert LDAP med det uppdaterade certifikatet.

Ändra ett certifikat som upphör att gälla

  1. Skapa ett säkert LDAP-ersättningscertifikat genom att följa stegen för att skapa ett certifikat för säkert LDAP.
  2. Om du vill använda ersättningscertifikatet för Azure AD DS går du till den vänstra menyn för Azure AD DS i Azure Portal, väljer Säker LDAP och väljer sedan Ändra certifikat.
  3. Distribuera certifikatet till alla klienter som ansluter med hjälp av säkert LDAP.

Låsa säker LDAP-åtkomst via Internet

När du aktiverar säker LDAP-åtkomst via Internet till din hanterade domän skapas ett säkerhetshot. Den hanterade domänen kan nås från Internet på TCP-port 636. Vi rekommenderar att du begränsar åtkomsten till den hanterade domänen till specifika kända IP-adresser för din miljö. En regel för Nätverkssäkerhetsgrupp i Azure kan användas för att begränsa åtkomsten till säkert LDAP.

Nu ska vi skapa en regel som tillåter inkommande säker LDAP-åtkomst via TCP-port 636 från en angiven uppsättning IP-adresser. En standardregel för DenyAll med lägre prioritet gäller för all annan inkommande trafik från Internet, så att endast de angivna adresserna kan nå din hanterade domän med hjälp av säkert LDAP.

  1. I Azure Portal väljer du Resursgrupper i det vänstra navigeringsfönstret.

  2. Välj din resursgrupp, till exempel myResourceGroup, och välj sedan din nätverkssäkerhetsgrupp, till exempel aaads-nsg.

  3. Listan över befintliga inkommande och utgående säkerhetsregler visas. Till vänster i fönstret nätverkssäkerhetsgrupp väljer du Inställningar > Inkommande säkerhetsregler.

  4. Välj Lägg till och skapa sedan en regel för att tillåta TCP-port636. För bättre säkerhet väljer du källan som IP-adresser och anger sedan din egen giltiga IP-adress eller ditt eget giltiga IP-intervall för din organisation.

    Inställning Värde
    Källa IP-adresser
    Källans IP-adresser/CIDR-intervall En giltig IP-adress eller ett intervall för din miljö
    Källportintervall *
    Mål Valfri
    Målportintervall 636
    Protokoll TCP
    Åtgärd Tillåt
    Prioritet 401
    Name AllowLDAPS

  5. När du är klar väljer du Lägg till för att spara och tillämpa regeln.

    Skapa en regel för nätverkssäkerhetsgrupp för att skydda LDAPS-åtkomst via Internet

Konfigurera DNS-zon för extern åtkomst

När säker LDAP-åtkomst är aktiverad via Internet uppdaterar du DNS-zonen så att klientdatorerna kan hitta den hanterade domänen. Den externa IP-adressen för Säker LDAP visas på fliken Egenskaper för din hanterade domän:

Visa den säkra externa LDAP-IP-adressen för din hanterade domän i Azure Portal

Konfigurera din externa DNS-provider för att skapa en värdpost, till exempel ldaps, för att matcha den här externa IP-adressen. Om du vill testa lokalt på datorn först kan du skapa en post i Windows-värdfilen. Om du vill redigera värdfilen på den lokala datorn öppnar du Anteckningar som administratör och öppnar sedan filen C:\Windows\System32\drivers\etc\hosts

Följande DNS-exempelpost, antingen med din externa DNS-provider eller i den lokala värdfilen, löser trafik för ldaps.aaddscontoso.com till den externa IP-adressen 168.62.205.103:

168.62.205.103    ldaps.aaddscontoso.com

Testa frågor till den hanterade domänen

Om du vill ansluta och binda till din hanterade domän och söka via LDAP använder du verktygetLDP.exe . Det här verktyget ingår i RSAT-paketet (Remote Server Administration Tools). Mer information finns i Installera verktyg för fjärrserveradministration.

  1. Öppna LDP.exe och anslut till den hanterade domänen. Välj Anslutning och sedan Anslut....
  2. Ange det säkra LDAP DNS-domännamnet för den hanterade domän som skapades i föregående steg, till exempel ldaps.aaddscontoso.com. Om du vill använda säkert LDAP anger du Port till 636 och markerar sedan kryssrutan för SSL.
  3. Välj OK för att ansluta till den hanterade domänen.

Bind sedan till din hanterade domän. Användare (och tjänstkonton) kan inte utföra enkla LDAP-bindningar om du har inaktiverat synkronisering av NTLM-lösenordshash på din hanterade domän. Mer information om hur du inaktiverar synkronisering av NTLM-lösenordshash finns i Skydda din hanterade domän.

  1. Välj menyalternativet Anslutning och välj sedan Bind....
  2. Ange autentiseringsuppgifterna för ett användarkonto som tillhör den hanterade domänen. Ange användarkontots lösenord och ange sedan din domän, till exempel aaddscontoso.com.
  3. För Bindningstyp väljer du alternativet bindning med autentiseringsuppgifter.
  4. Välj OK för att binda till din hanterade domän.

Så här ser du de objekt som lagras i din hanterade domän:

  1. Välj menyalternativet Visa och välj sedan Träd.

  2. Lämna fältet BaseDN tomt och välj sedan OK.

  3. Välj en container, till exempel AADDC-användare, högerklicka sedan på containern och välj Sök.

  4. Låt de förifyllda fälten vara kvar och välj sedan Kör. Resultatet av frågan visas i det högra fönstret, som du ser i följande exempelutdata:

    Sök efter objekt i din hanterade domän med hjälp av LDP.exe

Om du vill fråga en specifik container direkt från menyn Visa > träd kan du ange ett BaseDN , till exempel OU=AADDC Users,DC=AADDSCONTOSO,DC=COM eller OU=AADDC Computers,DC=AADDSCONTOSO,DC=COM. Mer information om hur du formaterar och skapar frågor finns i grunderna för LDAP-frågor.

Anteckning

Om ett självsignerat certifikat används kontrollerar du att självsignerat certifikat har lagts till på betrodda rotcertifikatutfärdare för att LDAPS ska fungera med LDP.exe

Rensa resurser

Om du har lagt till en DNS-post i datorns lokala värdfil för att testa anslutningen för den här självstudien tar du bort den här posten och lägger till en formell post i DNS-zonen. Om du vill ta bort posten från den lokala värdfilen utför du följande steg:

  1. Öppna Anteckningar som administratör på den lokala datorn
  2. Bläddra till och öppna filen C:\Windows\System32\drivers\etc\hosts
  3. Ta bort raden för posten som du lade till, till exempel 168.62.205.103 ldaps.aaddscontoso.com

Felsökning

Om du ser ett felmeddelande om att LDAP.exe inte kan ansluta kan du prova att gå igenom de olika aspekterna av att hämta anslutningen:

  1. Konfigurera domänkontrollanten
  2. Konfigurera klienten
  3. Nätverk
  4. Upprätta TLS-sessionen

För certifikatmottagarens namnmatchning använder domänkontrollanten Azure AD DS-domännamn (inte Azure AD domännamn) för att söka i certifikatarkivet efter certifikatet. Stavfel förhindrar till exempel domänkontrollanten från att välja rätt certifikat.

Klienten försöker upprätta TLS-anslutningen med det namn som du angav. Trafiken måste komma hela vägen igenom. Domänkontrollanten skickar den offentliga nyckeln för serverautentiseringscertifikatet. Certifikatet måste ha rätt användning i certifikatet, namnet som är signerat i ämnesnamnet måste vara kompatibelt för att klienten ska kunna lita på att servern är det DNS-namn som du ansluter till (dvs. ett jokertecken fungerar, utan stavfel) och klienten måste lita på utfärdaren. Du kan söka efter eventuella problem i den kedjan i systemloggen i Loggboken och filtrera de händelser där källan är lika med säker kanal. När dessa delar är på plats bildar de en sessionsnyckel.

Mer information finns i TLS-handskakning.

Nästa steg

I den här självstudiekursen lärde du dig att:

  • Skapa ett digitalt certifikat för användning med Azure AD DS
  • Aktivera säkert LDAP för Azure AD DS
  • Konfigurera säkert LDAP för användning via offentligt Internet
  • Binda och testa säker LDAP för en hanterad domän

Konfigurera synkronisering av lösenordshash för en hybridmiljö Azure AD