1 votes

Peter Rasmussen avatar

Activer le rôle d'autorité de certification AD, qu'est-ce qui peut mal tourner ?

Demandé el 2 de Février, 2021
Quand la question a-t-elle été
93 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis sur le point d'installer le rôle Autorité de certification Active Directory sur un Windows Server 2012 R2 qui est déjà notre serveur Active Directory.

La raison est que je veux activer le LDAPS suivant https://docs.moodle.org/310/en/Active_Directory#MS_Active_Directory_.2B_SSL

Je me demande donc ce qui peut mal tourner.

  • L'Active Directory cessera-t-il d'accepter les connexions non cryptées ?
  • Les certificats établis cesseront-ils de fonctionner ?
  • D'autres serveurs (par exemple, des contrôleurs de domaine) qui fonctionnent bien sans cryptage vont-ils essayer LDAPS et échouer parce qu'ils ne font pas confiance au certificat ?
  • Est-ce que je ne pourrai plus me connecter et le réparer, parce que le VPN repose sur LDAP ?
Demandé el 2 de Février, 2021 par Peter Rasmussen

1 votes

Avatar de mhrzn

N'installez pas ADCS sur un contrôleur de domaine.

Commenté el 2 de Février, 2021 par mhrzn

0 votes

Avatar de Peter Rasmussen

En fait, tout ce que je veux, c'est pouvoir changer les mots de passe via ldap (pour moodle), ce qui, selon la rumeur, est impossible sans TLS.

Commenté el 2 de Février, 2021 par Peter Rasmussen

Réponse

Trop de publicités?

2voto

Ryan Bolger avatar
Ryan Bolger Points 16332

L'installation d'une autorité de certification à part entière afin de signer un certificat unique pour votre contrôleur de domaine semble représenter beaucoup d'efforts pour un gain limité. Si vous n'avez besoin que de LDAPS sur un seul contrôleur de domaine, vous feriez mieux de vous contenter d'acheter un certificat tiers (il existe des autorités de certification qui proposent également des certificats gratuits), en supposant que votre nom de domaine vous appartienne réellement et non pas quelque chose comme corp.local . Voici quelques documents qui peuvent vous aider :

Si, pour une raison quelconque, vous ne pouvez pas utiliser une autorité de certification publique, j'opterais quand même pour quelque chose comme Nouveau certificat auto-signé plutôt que d'installer ADCS pour un seul certificat.

Pour répondre à vos questions.

  • Non, AD ne cessera pas d'accepter les connexions non cryptées après l'ajout d'un certificat. Les services chiffrés TLS fonctionnent sur des ports différents.
  • Je ne suis pas sûr de ce que vous voulez dire exactement par "certificats établis". Mais en règle générale, l'installation d'ADCS ne modifie pas les magasins de certificats existants, si ce n'est pour ajouter le nouveau certificat de l'autorité de certification racine en tant que certificat de confiance.
  • Les autres serveurs ne pourront pas se connecter s'ils ont été configurés pour utiliser TLS et s'ils n'ont pas été configurés pour faire confiance au certificat racine de l'autorité de certification (à moins qu'ils n'aient également été configurés pour désactiver la validation des certificats, ce qui est généralement une mauvaise idée). (C'est un autre avantage d'un certificat public, car il est déjà reconnu par les clients).
  • Il est peu probable que votre VPN commence à utiliser LDAPS pour l'authentification, à moins que vous ne le configuriez en ce sens. Mais une fois que vous le faites, oui. L'authentification VPN dépendra du bon fonctionnement de TLS.
Répondu el 2 de Février, 2021 par Ryan Bolger (16332 Points )

0 votes

Avatar de Peter Rasmussen

Oui, c'est corp.local, comment avez-vous deviné ? Je suis tout à fait d'accord avec un certificat auto-signé, car il n'y a qu'un seul client pour l'utiliser. J'ai juste besoin d'un moyen pour que ldap écoute sur le port 636 et présente un certificat.

Commenté el 2 de Février, 2021 par Peter Rasmussen

0 votes

Avatar de Ryan Bolger

C'est malheureusement assez courant. Mais pour une référence future, serverfault.com/questions/76715/

Commenté el 2 de Février, 2021 par Ryan Bolger

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X