Známé problémy: výstrahy protokol Secure LDAP v Azure Active Directory Domain Services

  • Článek
  • 2 min ke čtení

Aplikace a služby, které používají protokol LDAP (Lightweight Directory Access Protocol) ke komunikaci s Azure Active Directory Domain Services (Azure služba AD DS), je možné nakonfigurovat tak, aby používaly zabezpečený protokol LDAP. Aby zabezpečený protokol LDAP správně fungoval, musí být otevřený vhodný certifikát a požadované síťové porty.

Tento článek vám pomůže pochopit a vyřešit běžné výstrahy pomocí zabezpečeného přístupu LDAP v Azure služba AD DS.

AADDS101: konfigurace sítě protokol Secure LDAP

Zpráva výstrahy

Pro spravovanou doménu je povolená protokol Secure LDAP přes Internet. Přístup k portu 636 ale není uzamčený pomocí skupiny zabezpečení sítě. To může vystavit uživatelské účty ve spravované doméně pro zneužití hesla hrubou silou.

Řešení

Pokud povolíte zabezpečený protokol LDAP, doporučujeme vytvořit další pravidla, která omezují přístup příchozích LDAP na konkrétní IP adresy. Tato pravidla chrání spravovanou doménu před útoky hrubou silou. Pokud chcete aktualizovat skupinu zabezpečení sítě tak, aby se omezil přístup k portu TCP 636 pro zabezpečený protokol LDAP, proveďte následující kroky:

  1. V Azure Portal vyhledejte a vyberte skupiny zabezpečení sítě.
  2. Zvolte skupinu zabezpečení sítě přidruženou k vaší spravované doméně, například AADDS-contoso.com-NSG, a pak vyberte příchozí pravidla zabezpečení .
  3. Vyberte + Přidat a vytvořte pravidlo pro port TCP 636. V případě potřeby vyberte v okně možnost Upřesnit a vytvořte pravidlo.
  4. V části zdroj vyberte IP adresy z rozevírací nabídky. Zadejte zdrojové IP adresy, u kterých chcete udělit přístup pro zabezpečený přenos LDAP.
  5. Vyberte jako cíl a pak zadejte 636 pro rozsahy cílových portů.
  6. Nastavte protokol TCP a akci , která má být povolena.
  7. Zadejte prioritu pravidla a potom zadejte název, například RestrictLDAPS.
  8. Až budete připraveni, vyberte Přidat a vytvořte pravidlo.

Stav spravované domény se automaticky aktualizuje během dvou hodin a výstraha se odstraní.

Tip

Nejedná se o jediné pravidlo, které vyžaduje, aby Azure služba AD DS běžely hladce. 636 Další informace najdete v tématu skupiny zabezpečení sítě Azure služba AD DS a požadované porty.

AADDS502: vyprší platnost certifikátu protokol Secure LDAP

Zpráva výstrahy

Platnost certifikátu zabezpečeného protokolu LDAP pro spravovanou doménu vyprší dne [datum]].

Řešení

Pomocí postupu pro Vytvoření certifikátu protokolu Secure LDAPvytvořte náhradní certifikát zabezpečeného protokolu LDAP. Použijte náhradní certifikát pro Azure služba AD DS a distribuujte certifikát pro všechny klienty, kteří se připojují pomocí protokolu Secure LDAP.

Další kroky

Pokud stále máte problémy, otevřete žádost o podporu Azure , kde najdete další pomoc při řešení potíží.