Configurare l'accesso LDAP sicuro (LDAPS) per un dominio gestito di Azure AD Domain Services

Prima di iniziare

Assicurarsi di aver completato l'Attività 2: Esportare il certificato LDAP sicuro in un file PFX.

Scegliere se usare l'esperienza di anteprima del portale di Azure o il portale di Azure classico per completare questa attività.

Attività 3: Abilitare l'accesso LDAP sicuro per il dominio gestito usando il portale di Azure (anteprima)

Per abilitare l'accesso LDAP sicuro, seguire questa procedura di configurazione:

  1. Passare al portale di Azure.

  2. Cercare "servizi di dominio" nella casella di ricerca Cerca risorse. Selezionare Azure AD Domain Services dai risultati della ricerca. Nel pannello Azure AD Domain Services è indicato il dominio gestito.

    Trovare il dominio gestito di cui viene effettuato il provisioning

  3. Fare clic sul nome del dominio gestito (ad esempio, "contoso100.com") per visualizzare altre informazioni sul dominio.

    Domain Services - Stato del provisioning

  4. Fare clic su LDAP sicuro nel riquadro di spostamento.

    Domain Services - Pannello LDAP sicuro

  5. Per impostazione predefinita, l'accesso LDAP sicuro al dominio gestito è disabilitato. Impostare LDAP sicuro su Abilita.

    Abilitare LDAP sicuro

  6. Per impostazione predefinita, l'accesso LDAP sicuro al dominio gestito su Internet è disabilitato. Impostare Abilita accesso LDAP sicuro tramite Internet su Abilita, se necessario.

  7. Fare clic sull'icona della cartella accanto a File PFX con certificato LDAP sicuro. Specificare il percorso del file PFX con il certificato per l'accesso LDAP sicuro al dominio gestito.

  8. Specificare la password per decrittografare il file PFX. Indicare la stessa password usata per l'esportazione del certificato nel file PFX.

  9. Al termine, fare clic sul pulsante Salva .

  10. Viene visualizzata una notifica che informa che è in corso la configurazione dell'accesso LDAP sicuro per il dominio gestito. Finché questa operazione non viene completata, non è possibile modificare altre impostazioni per il dominio.

    Configurazione dell'accesso LDAP sicuro per il dominio gestito

Nota

Per abilitare l'accesso LDAP sicuro per il dominio gestito saranno necessari circa 10-15 minuti. Se il certificato LDAP sicuro fornito non soddisfa i criteri necessari, l'accesso LDAP sicuro non viene abilitato per la directory e viene visualizzato un errore. Ad esempio, il nome di dominio non è corretto, il certificato è già scaduto o scadrà presto. In questo caso, riprovare con un certificato valido.


Attività 4: Configurare DNS per l'accesso al dominio gestito da Internet

Nota

Attività facoltativa : ignorare questa attività di configurazione se non si intende accedere al dominio gestito usando l'accesso LDAP sicuro tramite Internet.

Prima di iniziare questa attività, assicurarsi di aver completato la procedura descritta nell' attività 3.

Dopo aver attivato l'accesso LDAP sicuro tramite Internet al dominio gestito, è necessario aggiornare il server DNS in modo che i computer client possano trovare il dominio gestito. Al termine dell'attività 3, nel campo INDIRIZZO IP ESTERNO PER L'ACCESSO LDAPS del pannello Proprietà viene visualizzato un indirizzo IP esterno.

Configurare il provider DNS esterno in modo che il nome DNS del dominio gestito, ad esempio "ldaps.contoso100.com", punti a questo indirizzo IP esterno. Nell'esempio è necessario creare la voce DNS seguente:

ldaps.contoso100.com  -> 52.165.38.113

La procedura è terminata ed è possibile connettersi al dominio gestito usando l'accesso LDAP sicuro tramite Internet.

Avviso

Tenere presente che i computer client devono considerare attendibile l'autorità emittente del certificato LDAPS per potersi connettere al dominio gestito tramite LDAPS. Se si usa un'autorità di certificazione pubblicamente attendibile, non sarà necessario eseguire alcuna operazione perché queste autorità sono considerate attendibili dai computer client. Se si usa un certificato autofirmato, installare la parte pubblica del certificato autofirmato nell'archivio certificati attendibili del computer client.

Attività 5: Bloccare l'accesso LDAPS al dominio gestito su Internet

Nota

Attività facoltativa: ignorare questa attività di configurazione se non è stato abilitato l'accesso LDAPS al dominio gestito su Internet.

Prima di iniziare questa attività, assicurarsi di aver completato la procedura descritta nell' attività 3.

L'esposizione del dominio gestito per l'accesso LDAPS su Internet rappresenta una minaccia alla sicurezza. Il dominio gestito è raggiungibile da Internet presso la porta usata per l'accesso LDAP sicuro, ovvero la porta 636. Di conseguenza, è possibile scegliere di limitare l'accesso al dominio gestito a determinati indirizzi IP noti. Per migliorare la sicurezza, creare un gruppo di sicurezza di rete (NSG) e associarlo alla rete virtuale.

La tabella seguente illustra un esempio di gruppo di sicurezza di rete che è possibile configurare per bloccare l'accesso LDAP sicuro su Internet. Il gruppo di sicurezza di rete contiene alcune regole che consentono l'accesso LDAPS in ingresso sulla porta TCP 636 solo da un set specificato di indirizzi IP. La regola predefinita "DenyAll" si applica a tutto il traffico in ingresso da Internet. La regola del gruppo di sicurezza di rete per consentire l'accesso LDAPS su Internet da indirizzi IP specificati ha una priorità superiore rispetto alla regola DenyAll del gruppo di sicurezza di rete.

Gruppo di sicurezza di rete di esempio per proteggere l'accesso LDAPS su Internet

Altre informazioni - Creare un gruppo di sicurezza di rete.