3 votes

Golmaal avatar

Désactiver la signature LDAP sur le PDC Windows dans la politique locale

Demandé el 27 de Mai, 2014
Quand la question a-t-elle été
4200 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

J'ai juste trébuché sur mes propres pieds, on dirait.

En jouant sur un serveur Windows 2008 R2 (configuré comme contrôleur de domaine), j'ai été intrigué par un certain événement d'avertissement (événement id 2886) qui dit :

"Pour renforcer la sécurité des serveurs d'annuaire, vous pouvez configurer à la fois les services de domaine Active Directory (AD DS) et les services d'annuaire léger Active Directory (AD LDS) pour exiger des liaisons signées Lightweight Directory Access Protocol (LDAP)."

J'ai donc fait un peu de recherche sur Google et j'ai défini les stratégies pertinentes qui appliquent la signature LDAP. Je ne me souviens plus, mais j'ai peut-être utilisé la stratégie locale.

J'ai maintenant installé une boîte pfsense qui doit authentifier les utilisateurs AD via LDAP. Bien que le pare-feu puisse communiquer par un canal sécurisé, il est difficile de gérer la même chose pour d'autres paquets tels que Squid et SquidGuard. Je dois donc maintenant désactiver, c'est-à-dire annuler, ces changements de politique.

Le problème est qu'ils sont grisés !

Les politiques en question sont la signature du serveur LDAP et la signature du client LDAP. Je ne me souviens pas de ce que j'ai fait, mais lorsque j'accède à ces stratégies à partir de l'éditeur de stratégie locale sur le serveur, elles sont définies sur "Require Signing" et sont grisées. Les mêmes stratégies peuvent toujours être définies via l'option Contrôleur de domaine par défaut dans l'éditeur de stratégie de groupe.

Alors comment puis-je réinitialiser ces politiques grisées ?

感謝

Mise à jour :

J'ai édité le registre :

Localisez puis cliquez sur la sous-clé de registre suivante : HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Cliquez avec le bouton droit de la souris sur l'entrée de registre LDAPServerIntegrity, puis cliquez sur Modifier. Remplacez la valeur par 1 (elle était de 2), puis cliquez sur OK.

Le "contrôleur de domaine : LDAP server signing requirements" dans la politique locale est maintenant réglé sur "none". Auparavant, la valeur était "Require Signing". Cependant, elle est toujours grisée. Pourquoi c'est grisé... je ne comprends pas.

Le boîtier pfsense peut maintenant authentifier les utilisateurs via LDAP... mais après un redémarrage du système, la politique a été réinitialisée à "Require Signing".

Ainsi, le problème de .... persiste.

Demandé el 27 de Mai, 2014 par Golmaal

Réponse

Trop de publicités?

0voto

Robin Windey avatar
Robin Windey Points 1

Je sais qu'il s'agit d'une question assez ancienne, mais comme je suis retombé sur ce sujet, je voulais partager mon expérience.

J'ai également eu ce problème que les paramètres pour "Domain controller : LDAP server signing requirements" étaient grisés. Il s'est avéré que j'ai utilisé le mauvais snap-in pour le serveur LDAP. mmc.exe . Vous devrez utiliser le Éditeur de gestion des politiques de groupe comme indiqué aquí . Lorsque vous ajoutez le snap-in, allez à Parcourir et ajouter l'objet Politique relative aux contrôleurs de domaine par défaut de votre Contrôleurs de domaine nœud. Après cela, vous devriez être en mesure de modifier les paramètres mentionnés comme suit aquí . Veuillez également noter que l'icône devant le réglage est différente de celle qui figure sur le site Web de la Commission européenne. Politique informatique locale où les paramètres relatifs à la signature LDAP sont grisés (voir l'illustration). aquí ).

Il y a aussi un grand article de blog ce qui m'a beaucoup aidé.

Répondu el 22 de Décembre, 2021 par Robin Windey (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X