Comment délivrer un certificat LDAPS avec ADCS en environnement Active Directory

2 heures ago Julien Castex

Rate this post

Présentation

Sommaire masquer

1 Présentation

2 LDAPS avec ADCS : deux approches possibles

3 Étape préparatoire : enregistrement DNS

4 Délivrer un certificat LDAPS avec ADCS

5 Actualités similaires :

Dans ce tutoriel, nous allons apprendre à délivrer un certificat LDAPS à partir d’une autorité de certification d’entreprise basée sur ADCS. Ce certificat TLS sera déployé sur les contrôleurs de domaine (DC) afin de chiffrer les échanges LDAPS entre les DC et les clients LDAP.

Cela ajoute une couche de sécurité absente par défaut avec le protocole LDAP, notamment pour les connexions LDAP en Simple Bind. Il s’agit donc d’une mesure complémentaire à la signature LDAP, qui s’applique à des cas d’usage différents (une application web qui s’appuie sur l’authentification LDAP, par exemple).

LDAPS avec ADCS : deux approches possibles

Pour sécuriser les flux LDAP en environnement Microsoft, plusieurs solutions sont offertes aux administrateurs. L’option recommandée par Microsoft pour sécuriser les échanges entre les contrôleurs de domaine et les machines Windows, c’est l’utilisation du LDAPS Signing (qui fera l’objet d’un autre tutoriel), ou la signature LDAP si vous préférez. Une autre option disponible, c’est celle évoquée dans cet article : le LDAPS (LDAP over SSL). Elle est surtout utile pour sécuriser les connexions entre certains services / applications avec l’Active Directory.

Peu importe la méthode utilisée, l’objectif est de sécuriser les communications LDAP entre le client et le serveur. Dans le cas présent, avec le LDAPS, un certificat SSL/TLS auto-signé sera utilisé pour chiffrer les échanges de données, offrant ainsi une protection accrue contre certaines attaques, dont les attaques man-in-the-middle.

Étape préparatoire : enregistrement DNS

La première étape consiste à créer un enregistrement DNS “ldaps.it-connect.local” dans la zone de recherche directe de votre domaine. Ici, il y a un enregistrement A pour chacun de mes deux DC : “SRV-ADDS-01” et “SRV-ADDS-02”. Vous pouvez utiliser le nom de votre choix pour l’enregistrement DNS.

Commencez par ouvrir la console “Gestionnaire DNS” sur le serveur, puis accédez aux propriétés du serveur DNS. Dans l’onglet “Avancé”, vérifiez que l’option “Activer le tourniquet (round robin)” est cochée. En principe, c’est le cas avec la configuration par défaut.

Délivrer un certificat LDAPS avec ADCS

La première étape consiste à créer un nouveau modèle de certificat pour le LDAPS, en prenant comme base le modèle pour Kerberos. Ouvrez la console “Autorité de certification” afin d’administrer votre CA montée avec le rôle ADCS. Effectuez un clic droit sur “Modèles de certificats”, puis cliquez sur “Gérer”.

En suivant ce tutoriel pas-à-pas, tout en l’adaptant à votre infrastructure, vous devriez être en mesure de mettre en œuvre le LDAPS en vous appuyant sur une autorité de certification d’entreprise ! Le certificat de la CA peut être importé sur des serveurs Linux ou Windows, ou des équipements réseau tels que des firewalls, en fonction de la machine qui doit être en mesure de se connecter en LDAPS.

Source : www.it-connect.fr

Julien Castex
Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.
Voir toutes les publications