как поднять ldap сервер на windows
Русские Блоги
Графическое введение в установку и настройку openLDAP на windows
Что такое LDAP? Здесь не так много концепций. Есть много онлайн-поисков. В этой статье мы расскажем, как установить и настроить программное обеспечение openLDAP на платформе Windows.
Официальный веб-сайт openLDAP предоставляет только соответствующие установочные файлы для платформы Linux. Пакет установки для платформы Windows можно загрузить со следующих веб-сайтов:
[3] Процесс установки
Следуйте инструкциям до следующего, пока установка не будет завершена:
[Четыре], запуск конфигурации
Каталог установки: D:\Program Files (x86)\OpenLDAP
Редактировать файл: D: \ Program Files (x86) \ OpenLDAP \ slapd.conf Найдите следующее содержание:
Откройте консоль, переключитесь в каталог установки openLDAP, запустите openLDAP, команда выглядит следующим образом:
Вы увидите в журнале информацию, похожую на следующую:
Информация журнала: slapd starting Это значит, что сервис запущен.
Создайте новый файл: D: \ Program Files (x86) \ OpenLDAP \ mydemo.ldif Содержание выглядит следующим образом:
tips: Формат должен быть строгим, в начале и конце каждой строки не должно быть пробелов
Затем переключитесь на установочный каталог openLDAP При выполнении ldapadd Команда:
Успешное добавление отобразит следующую информацию:
Если нет ldapadd «Эта команда также может использовать свои собственные команды» slapadd «Вместо импорта файлов данных. Однако следует отметить, что: и команда ldapadd различный Это: Требуется перед выполнением команды slapadd Сначала остановите сервис slapd, который был запущен ранее (откройте сервис, чтобы убедиться, что сервис остановлен), Затем перейдите в каталог установки openLDAP в консоли и выполните команду:
Активируем LDAP over SSL (LDAPS) в Windows Server 2012 R2
По-умолчанию в Active Directory трафик по протоколу LDAP между контроллерами домена и клиентами не шифруется, т.е. данные по сети передаются в открытом виде. Потенциально это означает, что злоумышленник с помощью снифера пакетов может прочитать эти данные. Для стандартной среды Windows среды это в общем-то не критично, но ограничивает возможности разработчиков сторонних приложений, которые используют LDAP.
Так, например, операция смены пароля должна обязательно осуществляться через безопасный канал (например Kerberos или SSL/TLS). Это означает, что например, с помощью функции-php, обеспечивающей работу с AD по протоколу LDAP изменить пароль пользователя в домене не удастся.
Защитить данные, передаваемых по протоколу LDAP между клиентом и контроллером домена можно с помощью SSL версии протокола LDAP – LDAPS, который работает по порту 636 (LDAP «живет» на порту 389). Для этого на контроллере домена необходимо установить специальный SSL сертификат. Сертификат может быть как сторонним, выданным 3-ей стороной (например, Verisign), самоподписанным или выданным корпоративным центром сертификации.
В этой статье мы покажем, как с помощью установки сертификата задействовать LDAPS (LDAP over Secure Sockets Layer) на котроллере домена под управление Windows Server 2012 R2. При наличии требуемого сертификата служба LDAP на контроллере домена может устанавливать SSL соединения для передачи трафика LDAP и трафика сервера глобального каталога (GC).
Отметим, что LDAPS преимущественно используется сторонними приложениями (имеются в виде не-Microsoft клиенты) в целях защиты передаваемых по сети данных (обеспечить невозможности перехвата имена и паролей пользователей и других приватных данных).
Предположим, в вашей инфраструктуре уже развернут корпоративный удостоверяющий сервер Certification Authority (CA). Это может быть как полноценная инфраструктура PKI, так и отдельной-стоящий сервер с ролью Certification Authority.
На севере с ролью Certification Authority запустите консоль Certification Authority Management Console, выберите раздел шаблонов сертификатов (Certificate Templates ) и в контекстном меню выберите Manage. 
Найдите шаблон Kerberos Authentication certificate и создайте его копию, выбрав в меню Duplicate Template. 
На вкладке General переименуйте шаблон сертификата в LDAPoverSSL, укажите период его действия и опубликуйте его в AD (Publish certificate in Active Directory). 
На вкладке Request Handling поставьте чекбокс у пункта Allow private key to be exported и сохраните шаблон.
Из списка доступных шаблонов выберите LDAPoverSSL и нажмите OK.
В списке доступных сертификатов выберите сертификат LDAPoverSSL и нажмите Enroll (выпустить сертификат).
Следующее требование – необходимо, чтобы контроллер домена и клиенты, которые будут взаимодействовать через LDAPS доверяли удостоверяющему центру (CA), который выдал сертификат для контроллера домена.
А затем добавьте экспортированный сертификат в контейнере сертификатов Trusted Root Certification Authorities хранилища сертификатов на клиенте и контроллере домена. Сделать это можно через вручную через оснастку управления сертификатами, через GPO или из командной строки (подробнее здесь).
Пошаговое руководство по установке LDAPS на Windows Server
Руководство разделено на 3 раздела:
ПРИМЕЧАНИЕ. Следующие шаги аналогичны для Windows Server 2008, 2012, 2012 R2, 2016. В этой статье мы будем использовать Windows Server 2012 R2.
Создайте виртуальную машину Windows Server в Azure
Создайте виртуальную машину с именем «ldapstest» Windows Server 2012 R2 Datacenter Standard DS12, следуя инструкциям здесь: Создание виртуальной машины Windows с порталом Azure
Подключитесь к ldapstest виртуальной машины с помощью подключения к удаленному рабочему столу.
Настройка LDAP с использованием AD LDS
Выберите установку на основе ролей или функций. Нажмите «Далее.
Выберите сервер ldapstest из пула серверов. Нажмите «Далее.
Отметьте службы Active Directory облегченного доступа к каталогам из списка ролей и нажмите Далее.
В списке функций ничего не выбирайте — просто нажмите Далее.
Нажмите «Установить», чтобы начать установку.
После завершения установки нажмите «Закрыть».
Теперь мы успешно настроили роль AD LDS. Давайте создадим новый экземпляр AD LDS «CONTOSO» с помощью мастера. Щелкните «Запустить мастер установки служб Active Directory облегченного доступа к каталогам» на приведенном выше экране. Затем нажмите «Закрыть».
Выберите уникальный экземпляр, так как мы настраиваем его впервые.
Введите «CONTOSO» в поле «Имя экземпляра» и нажмите «Далее».
По умолчанию порт LDAP — 389, порт LDAPS 636, выберем значения по умолчанию — жмем Далее.
Создайте новый раздел каталога приложений с именем «CN = MRS, DC = CONTOSO, DC = COM». Нажмите «Далее.
Использование значений по умолчанию для места хранения файлов ADLDS — нажмите «Далее».
Выбор учетной записи сетевой службы для запуска службы AD LDS.
Вы получите быстрое предупреждение о репликации данных. Поскольку мы используем один сервер LDAP, мы можем нажать Да.
Выбор текущего вошедшего в систему пользователя в качестве администратора для экземпляра AD LDS. Нажмите «Далее.
Отметьте все необходимые файлы LDIF для импорта (здесь мы отмечаем все файлы). Нажмите «Далее.
Убедитесь, что все выбраны правильно, а затем нажмите Далее, чтобы подтвердить установку..
После успешной настройки экземпляра нажмите Готово.
Если соединение установлено успешно, мы сможем просматривать каталог CN = MRS, DC = CONTOSO, DC = COM:
Настройка LDAPS (LDAP через SSL)
Сертификат, который будет использоваться для LDAPS, должен удовлетворять следующим трем требованиям:
• Сертификат должен быть действительным для целей аутентификации сервера. Это означает, что он также должен содержать идентификатор объекта аутентификации сервера (OID): 1.3.6.1.5.5.7.3.1
• Имя субъекта или имя в альтернативном имени субъекта (SAN) должно соответствовать полному Полное доменное имя (FQDN) хост-компьютера, например Subject: CN = contosoldaps. Для получения дополнительной информации см. Как добавить альтернативное имя субъекта к защищенному сертификату LDAP.
• Учетная запись хост-компьютера должна иметь доступ к закрытому ключу.
Теперь давайте воспользуемся службами сертификации Active Directory, чтобы создать сертификат, который будет использоваться для LDAPS. Если у вас уже есть сертификат, отвечающий вышеуказанным требованиям, вы можете пропустить этот шаг.
Выберите установку на основе ролей или функций. Нажмите «Далее.
Выберите сервер ldapstest из пула серверов. Нажмите «Далее.
Выберите «Службы сертификации Active Directory» из списка ролей и нажмите «Далее».
Ничего не выбирайте из списка функций и нажмите Далее.
Отметьте «Центр сертификации» в списке ролей и нажмите «Далее».
Нажмите «Установить», чтобы подтвердить установку.
После завершения установки нажмите «Закрыть».
Теперь давайте создадим сертификат с помощью мастера настройки AD CS. Чтобы открыть мастер, нажмите «Настроить службы сертификации Active Directory на конечном сервере» на экране выше. Затем нажмите «Закрыть». Мы можем использовать пользователя azureuser, вошедшего в систему, для настройки служб ролей, поскольку он принадлежит к локальной группе администраторов. Нажмите «Далее.
Выберите центр сертификации из списка ролей. Нажмите «Далее.
Поскольку это локальная установка без домена, мы собираемся выбрать автономный центр сертификации. Нажмите «Далее.
Выбрав корневой ЦС в качестве типа ЦС, нажмите Далее.
Поскольку у нас нет закрытого ключа, давайте создадим новый. Нажмите «Далее.
Выбор SHA1 в качестве алгоритма хеширования. Нажмите «Далее.
ОБНОВЛЕНИЕ: рекомендуется выбрать самый последний алгоритм хеширования с момента обратного отсчета устаревания SHA-1
Имя CA должен соответствовать имени хоста (требование номер 2). Введите «LDAPSTEST» и нажмите «Далее».
Указание срока действия сертификата. Выбираем по умолчанию 5 лет. Нажмите «Далее.
Выбрав расположение базы данных по умолчанию, нажмите «Далее».
Нажмите «Настроить» для подтверждения.
После успешной/полной настройки. Щелкните Close.
Теперь давайте просмотрим сгенерированный сертификат.
Нажмите «Пуск», выберите «Поиск» «Управление сертификатами компьютеров» и откройте его.
Щелкните «Личные сертификаты» и убедитесь, что сертификат «LDAPSTEST» присутствует:
Закрытый ключ будет находиться в следующем месте C: ProgramData Microsoft Crypto Keys
Щелкните правой кнопкой мыши C: ProgramData Microsoft Crypto Keys 874cb49a696726e9f435c1888b69f317_d3e61130-4cd8-4288-a344-778464647ff8c и нажмите Свойства> добавить разрешения на чтение для NETWORK SERVICE.
Откроется мастер экспорта сертификатов. Нажмите «Далее.
Не экспортировать закрытый ключ. Нажмите «Далее.
Нажмите Готово, чтобы завершить экспорт сертификата.
Сертификат теперь успешно экспортирован в «C: Users azureuser Desktop ldapstest.cer».
Теперь мы должны импортировать его в JRE Keystore, используя команду keytool, находящуюся в этом месте:
C: Program Files Java jre1.8.0_92 bin keytool.exe.
После успешного добавления сертификата в хранилище ключей JRE мы можем подключиться к серверу LDAP через SSL.
Теперь давайте попробуем подключиться к серверу LDAP (с SSL и без него) с помощью инструмента ldp.exe.
Строки подключения для
LDAP: \ ldapstest: 389
LDAPS: \ ldapstest: 636
Если соединение установлено успешно, вы увидите следующее сообщение в инструменте ldp.exe:
Чтобы подключиться к LDAPS (LDAP через SSL), используйте порт 636 и отметьте SSL. Нажмите ОК, чтобы подключиться.
Если соединение установлено, вы увидите следующее сообщение в инструменте ldp.exe:
ССЫЛКИ
https://technet.microsoft.com/en-us/library/cc770639(v=ws.10)
https://technet.microsoft.com/en-us/library/cc725767(v=ws.10).aspx
http://social.technet.microsoft.com/wiki/contents/articles/2980.ldap- over-ssl-ldaps-certificate ….
https://blogs.technet.microsoft.com/askds/2008/03/13/troubleshooting-ldap-over-ssl/
http ://javarevisited.blogspot.com/2011/11/ldap-authentication-active-directory.html
Отличное руководство! Спасибо!
Я не понимаю, почему он импортирует сертификат в java truststore. Инструмент ldp.exe использует java?
@zhongyi_yang Я тоже хотел бы знать об этом.
Доверенное хранилище java немного странно, если учесть Java. Есть ли другой способ импортировать это?
Как я могу найти сервер LDAP в DNS в Windows?
Для Linux эта команда должна возвращать запись DNS для сервера LDAP
(найдено в разделе «Аутентификация с Java (Linux) в Active Directory с использованием LDAP БЕЗ имени сервера»)
Как я могу получить то же самое в командной строке Windows с помощью nslookup?