Des nouvelles ont été ajoutées en tête de listes.
Remontez pour les voir.
Inscription à la newsletter
Active Directory - Obtenir un certificat LDAPS avec ADCS
Florian BURNEL - ITConnect -
28/11
Dans ce tutoriel, nous allons apprendre à générer un certificat LDAPS à partir d'une autorité de certification d'entreprise ADCS intégrée à Active Directory.
Sommaire
I. Présentation
II. LDAPS avec ADCS : deux approches possibles
III. Étape préparatoire : enregistrement DNS
IV. Délivrer un certificat LDAPS avec ADCS
A. Créer un modèle de certificat LDAPS
B. Demander un certificat LDAPS
C. Exporter le certificat LDAPS
D. Importer le certificat LDAPS sur les DC
V. Configurer la connexion sur un client LDAPS
A. La configuration d'un client LDAPS
B. Quel outil pour tester une connexion LDAPS ?
C. Tester la connexion LDAPS avec Linux
D. Tester la connexion LDAPS avec Windows
E. Le trafic LDAPS vu par Wireshark
VI. Conclusion
I. Présentation
Dans ce tutoriel, nous allons apprendre à délivrer un certificat LDAPS à partir d'une autorité de certification d'entreprise basée sur ADCS. Ce certificat TLS sera déployé sur les contrôleurs de domaine (DC) afin de chiffrer les échanges LDAPS entre les DC et les clients LDAP.
Cliquez ici pour voir la vidéo sur YouTube
Cela ajoute une couche de sécurité absente par défaut avec le protocole LDAP, notamment pour les connexions LDAP en Simple Bind. Il s'agit donc d'une mesure complémentaire à la signature LDAP, qui s'applique à des cas d'usage différents (une application web qui s'appuie sur l'authentification LDAP, par exemple).
Active Directory – Comment configurer le LDAPS avec un certificat autosigné ?
ADCS : Comment créer une autorité de certification racine d’entreprise sous Windows Server ?
Pour sécuriser les flux LDAP en environnement Microsoft, plusieurs solutions sont offertes aux administrateurs. L'option recommandée par Microsoft pour sécuriser les échanges entre les contrôleurs de domaine et les machines Windows, c'est l'utilisation du LDAPS Signing (qui fera l'objet d'un autre tutoriel), ou la signature LDAP si vous préférez. Une autre option disponible, c'est celle évoquée dans cet article : le LDAPS (LDAP over SSL). Elle est surtout utile pour sécuriser les connexions entre certains services / applications avec l'Active Directory.
Peu importe la méthode utilisée, l'objectif est de sécuriser les communications LDAP entre le client et le serveur. Dans le cas présent, avec le LDAPS, un certificat SSL/TLS auto-signé sera utilisé pour chiffrer les échanges de données, offrant ainsi une protection accrue contre certaines attaques, dont les attaques man-in-the-middle.
Si vous utilisez des machines Windows 10 et/ou Windows 11, et que vous souhaitez sécuriser les connexions LDAP, vous n'avez pas besoin de mettre en œuvre le LDAPS. En effet, il est préférable de forcer l'activation du LDAP Signing.
II. LDAPS avec ADCS : deux approches possibles
Pour mettre en œuvre le LDAPS en environnement Active Directory, par l'intermédiaire d'une autorité de certification ADCS, il y a deux approches possibles. La première méthode évoquée ci-dessous sera expliquée en détail dans ce tutoriel.
Avec un alias DNS « ldaps.it-connect.local »
La première approche consiste à créer un enregistrement DNS pour englober tous les serveurs à contacter pour les connexions LDAPS, par exemple "ld... [Courte citation de 8% de l'article original]
Loading...
🍪
Le modèle économique de notre site repose sur l'affichage de publicités personnalisées basées sur l'utilisation de cookies publicitaires. En continuant votre visite sur notre site, vous consentez à l'utilisation de ces cookies.
Politique de confidentialité