Nesta página, mostramos como ativar o LDAP sobre SSL/TLS (LDAPS) para o Serviço Gerenciado para Microsoft Active Directory (Microsoft AD gerenciado) para tornar o tráfego LDAP confidencial e seguro. Por padrão, a comunicação entre o Microsoft AD gerenciado e os aplicativos cliente não é criptografada para vinculações LDAP simples.
Para ativar o LDAPS, é necessário ter um certificado. Esta página também descreve as especificações do certificado necessário e como verificar e monitorar.
Solicitar um certificado
É possível solicitar um certificado de uma Public Certificate Authority (CA), da CA Enterprise, Google Cloud do Certificate Authority Service ou usar um certificado autoassinado. Se você usar um certificado autoassinado, siga a documentação da Microsoft vinculada aos comandos do PowerShell nas seções a seguir.
É possível criar um certificado autoassinado com o comando New-SelfSignedCertificate no Windows, OpenSSL ou MakeCert.
Requisitos de certificado
O certificado precisa atender aos seguintes requisitos:
- A tabela a seguir descreve os requisitos para criar um certificado autoassinado
e lista os parâmetros associados usados no
New-SelfSignedCertificatecomando. Observe que os nomes de parâmetros ou campos podem variar de acordo com a forma como você cria o certificado.
| Parâmetro | Descrição |
|---|---|
Subject (nome do assunto) |
Precisa ser o nome com prefixo de caractere curinga do domínio do Microsoft AD gerenciado para garantir que o serviço permaneça disponível durante um processo de upgrade ou restauração. Isso ocorre porque os controladores de domínio usam nomes aleatórios
que mudam durante um processo de upgrade ou restauração. Por exemplo, se o nome de domínio
for ad.mycompany.com, o nome do assunto precisará ser CN=*.ad.mycompany.com
|
DnsName (nome DNS ou nome alternativo do assunto) |
Precisa incluir apenas o seguinte:"CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
|
KeySpec |
Precisa ser definido como 1, o que indica que pode ser usada
para assinatura digital e troca de chaves.
|
KeyLength |
O tamanho mínimo da chave depende do algoritmo de criptografia. |
KeyUsage |
Precisa incluir "assinaturas digitais" e "criptografia de chave". |
TextExtension ou EnhancedKeyUsageExtension |
Precisa ter OID=1.3.6.1.5.5.7.3.1 para
autenticação do servidor.
|
NotBefore |
A hora a partir da qual o certificado é válido. O certificado precisa ser válido ao ativar o LDAPS. |
NotAfter |
O tempo após o qual o certificado não é válido. O certificado precisa ser válido ao ativar o LDAPS. |
KeyAlgorithm (algoritmo de assinatura) |
Algoritmos de assinatura fracos, como SHA-1, MD2, MD5, não são suportados. |
Cadeia de emissão:toda a cadeia de certificados precisa ser carregada e válida. A cadeia precisa ser linear e não pode haver várias cadeias.
Formato do certificado:o formato precisa atender aos padrões de criptografia de chave pública (PKCS) nº 12. Use um arquivo PFX.
Solicitar uma Public CA ou CA corporativa
Para solicitar um certificado de uma Public CA ou CA corporativa, siga estas etapas.
Aceite o certificado na mesma VM em que a solicitação é gerada.
Exportar o certificado no formato PKCS nº 12
Para exportar o certificado no formato PKCS nº 12 (como um arquivo PFX), siga estas etapas:
No Windows, acesse os certificados no Microsoft Management Console (MMC).
Expanda Certificados locais do computador e navegue até Pessoal > Certificados.
Clique com o botão direito do mouse no certificado criado para ativar o LDAPS e selecione Todas as tarefas > Exportar.
Na caixa de diálogo Assistente de exportação de certificados que aparece, clique em Próxima.
Na página Exportar chave privada, selecione Sim para exportar a chave privada.
Na página Exportar formato do arquivo , selecione Trocar informações pessoais - PKCS nº 12 (.PFX) e a caixa de seleção Incluir todos os certificados no caminho de certificação, se possível. Clique em Próxima.
Na página Segurança, selecione a caixa de seleção Senha e digite uma senha forte para proteger o certificado. Clique em Próxima. Essa senha é obrigatória ao configurar o LDAPS no seu domínio do Microsoft AD gerenciado.
Na página Arquivo a exportar, insira o nome do destino e o caminho do arquivo PFX que será exportado. Clique em Próxima.
Clique em Concluir.
Para exportar um certificado autoassinado com a chave privada no formato PKCS nº 12 como um
arquivo PFX, use o Export-PfxCertificate
comando
e para exportar o certificado autoassinado como um arquivo PEM, use o
Export-Certificate
comando.
Distribuir a cadeia de emissores para computadores clientes
Para que o LDAPS funcione, todos os computadores clientes precisam confiar no emissor do certificado LDAPS. Para uma Public CA conhecida, os computadores clientes já podem confiar na cadeia do emissor. Se a cadeia não for confiável, siga estas etapas para exportar a cadeia do emissor:
No Windows, acesse os certificados no Microsoft Management Console (MMC).
Expanda Certificados locais do computador e navegue até Pessoal > Certificados. Clique duas vezes no certificado LDAPS.
Na janela Certificado, clique na guia Caminho da certificação.
Na guia Caminho da certificação, selecione o certificado raiz no caminho.
Clique em Visualizar certificado.
Clique na guia Detalhes e em Copiar para arquivo….
Na caixa de diálogo Assistente de exportação de certificados que aparece, selecione X.509 codificado em Base 64 e clique em Próxima.
Selecione o nome do arquivo e o local da cadeia de certificados e clique em Concluir.
Para copiar o certificado para o computador cliente que estabelece uma conexão LDAPS, use a caixa de diálogo Assistente de importação de certificados para importar o certificado no repositório "Máquina Local". Como alternativa, é possível distribuir a cadeia de certificados de autoridades emissoras para os computadores clientes usando a Política de Grupo no Windows.
Para importar um certificado autoassinado para o armazenamento raiz confiável da máquina local, use o Import-Certificate
comando.
Ativar o LDAPS em um domínio do Microsoft AD gerenciado
Antes de ativar o LDAPS no seu domínio do Microsoft AD gerenciado, faça o seguinte:
Verifique se você tem um dos seguintes papéis do IAM:
- Google Cloud Administrador de identidades gerenciadas (
roles/managedidentities.admin) - Google Cloud Administrador de domínio de identidades gerenciadas (
roles/managedidentities.domainAdmin)
Para mais informações sobre os papéis do IAM do Microsoft AD gerenciado, consulte Controle de acesso.
- Google Cloud Administrador de identidades gerenciadas (
Para ativar o LDAPS no seu domínio do Microsoft AD gerenciado, siga estas etapas:
Console
- No Google Cloud console, acesse a página Microsoft AD gerenciado.
Acessar o Microsoft AD gerenciado - Na página Domínios, selecione um domínio na lista de instâncias para ativar o LDAPS.
- Na seção LDAPS da página Detalhes do domínio, clique em Configurar LDAPS.
- No painel Configurar LDAPS , insira o local do arquivo PFX e a senha usada para exportar o certificado no formato PKCS nº 12 formato e clique em Configurar LDAPS.
gcloud
Execute o seguinte comando da CLI gcloud:
gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
--certificate-pfx-file=PFX_FILENAME \
--certificate-password=PASSWORD
Substitua:
- DOMAIN_NAME: o nome completo
do recurso do seu domínio do Microsoft AD
gerenciado. Formato do nome completo do recurso:
projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME. - PFX_FILENAME: o arquivo PFX formatado em PKCS nº 12 que especifica a cadeia de certificados usada para configurar o LDAPS.
- PASSWORD: a senha usada para criptografar o certificado PKCS nº 12. Se você não especificar a senha, ela será solicitada durante a execução do comando.
Essa operação pode levar até 20 minutos para ser concluída. Para atualizar o certificado, repita essas etapas com o arquivo PFX atualizado.
Verificar o LDAPS
É possível verificar se o LDAPS está ativado executando uma vinculação LDAPS. Esse processo
usa LDP.exe, que é uma das ferramentas de RSAT
que você instala quando mescla uma VM ao domínio.
Em uma VM do Windows mesclada ao domínio Google Cloud , siga estas etapas no PowerShell:
No PowerShell, inicie
LDP.exee navegue até Conexão > Connect.Na caixa de diálogo Conectar, siga estas etapas:
- No campo Servidor, digite seu nome de domínio.
- No campo Porta, digite
636. - Marque a caixa de seleção SSL.
- Clique em OK.
Se o LDAPS estiver ativado corretamente, a conexão será bem-sucedida.
Monitorar um certificado
É possível visualizar o time to live (TTL) de uma cadeia de certificados no Cloud Monitoring. A métrica cert_ttl mostra o número de dias válidos restantes para o certificado na cadeia com a expiração mais antiga.
Console
Para visualizar as métricas de um recurso monitorado usando o Metrics Explorer, faça o seguinte:
-
No console Google Cloud , acesse a página do leaderboard Metrics explorer:
Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Monitoring.
- Na barra de ferramentas do console Google Cloud , selecione seu projeto Google Cloud . Para configurações do App Hub, selecione o projeto host do App Hub ou o projeto de gerenciamento da pasta habilitada para apps.
- No elemento Métrica , expanda o menu Selecionar uma métrica , digite
LDAPS Certificate TTLna barra de filtro e use os submenus para selecionar um tipo de recurso e métrica específicos:- No menu Recursos ativos, selecione Domínio do Microsoft Active Directory.
- No menu Categorias de métrica ativa, selecione Microsoft_ad.
- No menu Métricas ativas, selecione LDAPS Certificate TTL.
- Clique em Aplicar.
Para adicionar filtros que removem séries temporais dos resultados da consulta, use o elemento Filtro.
Para combinar séries temporais, use os menus no elemento Agregação. Por exemplo, para exibir a utilização da CPU para suas VMs, com base na zona, defina o primeiro menu como Média e o segundo como zona.
Todas as séries temporais são exibidas quando o primeiro menu do elemento Agregação está definido como Não agregado. As configurações padrão do elemento Agregação são determinadas pelo tipo de métrica selecionada.
- Para cotas e outras métricas que informam uma amostra por dia, faça as seguintes ações:
- No painel Exibição, defina o Tipo de widget como Gráfico de barras empilhadas.
- Defina o período como pelo menos uma semana.
Também é possível clicar em Monitoring na seção LDAPS da página Detalhes do domínio para navegar até o Metrics Explorer.
Também é possível usar o editor de código para PromQL para encontrar essas métricas.
Na guia Métricas, selecione Editor de consultas.
No campo de texto do Editor de consultas, insira a seguinte consulta PromQL e selecione Executar consulta.
sum by (fqdn) (
avg_over_time({
"__name__"="managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl",
"monitored_resource"="microsoft_ad_domain",
}[${__interval}])
)
Desativar o LDAPS
Para desativar o LDAPS, siga estas etapas:
Console
- No Google Cloud console, acesse a página Microsoft AD gerenciado.
Acessar o Microsoft AD gerenciado - Na página Domínios, selecione o domínio na lista de instâncias para o qual você quer desativar o certificado.
- Na seção LDAPS da página Detalhes do domínio, clique em Desativar.
gcloud
Execute o seguinte comando da CLI gcloud:
gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
--clear-ldaps-certificate
Substitua DOMAIN_NAME pelo nome completo
do recurso do seu domínio do Microsoft AD
gerenciado. Formato do nome completo do recurso:
projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
Essa operação pode levar até 20 minutos para ser concluída. Para reativar o LDAPS, é necessário fazer o upload dos certificados novamente.