הפעלת LDAPS

בדף הזה מוסבר איך להפעיל LDAP באמצעות SSL/TLS ‏ (LDAPS) בשירות המנוהל ל-Microsoft Active Directory (שירות מנוהל ל-Microsoft AD), כדי להפוך את תעבורת ה-LDAP לחסויה ומאובטחת. כברירת מחדל, התקשורת בין שירות מנוהל ל-Microsoft AD לבין אפליקציות לקוח לא מוצפנת עבור קשירות LDAP פשוטות.

כדי להפעיל LDAPS, צריך אישור. בדף הזה מפורטות גם הדרישות לגבי האישור הנדרש, ומוסבר איך לאמת אותו ולעקוב אחריו.

בקשת אישור

אפשר לבקש אישור מ-Public Certificate Authority (CA), מרשות אישורים ארגונית, מGoogle Cloud Certificate Authority Service או להשתמש באישור בחתימה עצמית. אם משתמשים באישור בחתימה עצמית, צריך לפעול לפי ההוראות במסמכי Microsoft שמקושרים לפקודות PowerShell בקטעים הבאים.

אפשר ליצור אישור בחתימה עצמית באמצעות הפקודה New-SelfSignedCertificate ב-Windows, ב-OpenSSL או ב-MakeCert.

דרישות לאישורים

האישור צריך לעמוד בדרישות הבאות:

• בטבלה הבאה מפורטות הדרישות ליצירת אישור בחתימה עצמית, ומוצגים הפרמטרים המשויכים שמשמשים בפקודה New-SelfSignedCertificate. שימו לב: שמות הפרמטרים או השדות יכולים להשתנות בהתאם לאופן שבו יצרתם את האישור.

• שרשרת הנפקה: צריך להעלות את כל שרשרת האישורים, והיא צריכה להיות תקפה. השרשרת חייבת להיות ליניארית, ולא יכולות להיות כמה שרשרות.

• פורמט האישור: הפורמט צריך לעמוד בתקן Public-Key Cryptography Standards (PKCS) #12. חובה להשתמש בקובץ PFX.

בקשה מ-CA ציבורי או מ-CA ארגוני

כדי לבקש אישור מרשות אישורים ציבורית או מרשות אישורים ארגונית, פועלים לפי השלבים האלה.

מאשרים את האישור באותה מכונה וירטואלית שבה נוצרה הבקשה.

ייצוא האישור בפורמט PKCS #12

כדי לייצא את האישור בפורמט PKCS #12 (כקובץ PFX), מבצעים את השלבים הבאים:

1. ב-Windows, עוברים לאישורים ב-Microsoft Management Console (MMC).

2. מרחיבים את Local Computer Certificates (אישורים במחשב המקומי) ועוברים אל Personal > Certificates (אישי > אישורים).

3. לוחצים לחיצה ימנית על האישור שיצרתם כדי להפעיל LDAPS, ובוחרים באפשרות כל המשימות > ייצוא.

4. בתיבת הדו-שיח אשף ייצוא האישורים שמופיעה, לוחצים על הבא.

5. בדף Export Private Key (ייצוא מפתח פרטי), בוחרים באפשרות Yes (כן) כדי לייצא את המפתח הפרטי.

6. בדף Export File Format (ייצוא פורמט קובץ), בוחרים באפשרות Personal Information Exchange - PKCS #12 (.PFX) (החלפת מידע אישי – PKCS #12 (.PFX)) ובתיבת הסימון Include all certificates in the certification path if possible (הכללת כל האישורים בנתיב האישור אם אפשר). לוחצים על Next.

7. בדף אבטחה, מסמנים את תיבת הסימון סיסמה ומזינים סיסמה חזקה כדי להגן על האישור. לוחצים על הבא. הסיסמה הזו נדרשת כשמגדירים LDAPS בדומיין שירות מנוהל ל-Microsoft AD.

8. בדף File to Export (קובץ לייצוא), מזינים את שם היעד ואת הנתיב של קובץ ה-PFX לייצוא. לוחצים על Next.

9. לוחצים על סיום.

כדי לייצא אישור עם חתימה עצמית עם המפתח הפרטי בפורמט PKCS #12 כקובץ PFX, משתמשים בפקודה Export-PfxCertificate. כדי לייצא אישור עם חתימה עצמית כקובץ PEM, משתמשים בפקודה Export-Certificate.

הפצה של שרשרת הגורם המנפיק למחשבי לקוח

כדי ש-LDAPS יפעל, כל מחשבי הלקוח צריכים לתת אמון למוציא האישור של LDAPS. במקרה של רשות אישורים ציבורית מוכרת, יכול להיות שהמחשבים של הלקוחות כבר נותנים אמון בשרשרת המנפיק. אם השרשרת לא מהימנה, צריך לבצע את השלבים הבאים כדי לייצא את שרשרת המנפיק:

1. ב-Windows, עוברים לאישורים ב-Microsoft Management Console (MMC).

2. מרחיבים את Local Computer Certificates (אישורים במחשב המקומי) ועוברים אל Personal > Certificates (אישי > אישורים). לוחצים לחיצה כפולה על אישור ה-LDAPS.

3. בחלון אישור, לוחצים על הכרטיסייה נתיב אישור.

4. בכרטיסייה נתיב האישור, בוחרים את אישור הבסיס בנתיב.

5. לוחצים על הצגת האישור.

6. לוחצים על הכרטיסייה פרטים ואז על העתקה לקובץ...

7. בתיבת הדו-שיח אשף ייצוא האישורים שמופיעה, בוחרים באפשרות Base-64 encoded X.509 (אישור X.509 בקידוד Base64) ולוחצים על הבא.

8. בוחרים את שם הקובץ והמיקום של שרשרת האישורים ולוחצים על סיום.

9. כדי להעתיק את האישור למחשב הלקוח שיוצר חיבור LDAPS, משתמשים בתיבת הדו-שיח אשף ייבוא האישורים כדי לייבא את האישור למאגר 'מחשב מקומי'. אפשר גם להפיץ את שרשרת האישורים של רשויות ההנפקה אל מחשבי הלקוח באמצעות מדיניות קבוצתית ב-Windows.

כדי לייבא אישור עם חתימה עצמית אל מאגר הבסיס המהימן של המחשב המקומי, משתמשים בפקודה Import-Certificate.

הפעלת LDAPS בדומיין של שירות מנוהל ל-Microsoft AD

לפני שמפעילים LDAPS בדומיין שירות מנוהל ל-Microsoft AD, צריך לבצע את הפעולות הבאות:

1. מוודאים שיש לכם אחד מהתפקידים הבאים ב-IAM:

   • Google Cloud אדמין של זהויות מנוהלות (roles/managedidentities.admin)
   • Google Cloud אדמין בדומיין של זהויות מנוהלות (roles/managedidentities.domainAdmin)

   מידע נוסף על תפקידי IAM בשירות מנוהל ל-Microsoft AD זמין במאמר בקרת גישה.

כדי להפעיל LDAPS בדומיין שירות מנוהל ל-Microsoft AD, צריך לבצע את השלבים הבאים:

gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --certificate-pfx-file=PFX_FILENAME \
    --certificate-password=PASSWORD

הפעולה הזו יכולה להימשך עד 20 דקות. כדי לעדכן את האישור, חוזרים על השלבים האלה עם קובץ ה-PFX המעודכן.

אימות LDAPS

כדי לוודא ש-LDAPS מופעל, מבצעים LDAPS bind. התהליך הזה משתמש ב-LDP.exe, שהוא אחד מהכלים של RSAT שמותקנים כשמצטרפים למכונה וירטואלית לדומיין.

ב-VM של Windows שמצורף לדומיין Google Cloud , מבצעים את השלבים הבאים ב-PowerShell:

1. ב-PowerShell, מפעילים את LDP.exe ועוברים אל Connection > Connect (חיבור > התחברות).

2. בתיבת הדו-שיח Connect, מבצעים את הפעולות הבאות:

   1. בשדה Server, מזינים את שם הדומיין.
   2. בשדה יציאה, מזינים 636.
   3. מסמנים את תיבת הסימון SSL.
   4. לוחצים על OK.

   אם LDAPS מופעל בצורה תקינה, החיבור יצליח.

מעקב אחרי אישור

אפשר לראות את הזמן לחיות (TTL) של שרשרת אישורים ב-Cloud Monitoring. המדד cert_ttl מציג את מספר הימים שנותרו לתוקף של האישור בשרשרת עם תאריך התפוגה המוקדם ביותר.

sum by (fqdn) (
  avg_over_time({
    "__name__"="managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl",
    "monitored_resource"="microsoft_ad_domain",
  }[${__interval}])
)

השבתת LDAPS

כדי להשבית את LDAPS, מבצעים את השלבים הבאים:

gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --clear-ldaps-certificate

הפעולה הזו יכולה להימשך עד 20 דקות. כדי להפעיל מחדש את LDAPS, צריך להעלות מחדש את האישורים.

המאמרים הבאים

• שיטות מומלצות לאוטומציה של חידוש אישורים