Przygotowywanie usług Active Directory Lightweight Directory do aprowizacji z identyfikatora Entra firmy Microsoft

  • Artykuł

Poniższa dokumentacja zawiera informacje samouczka przedstawiające sposób przygotowania instalacji usług Active Directory Lightweight Directory Services (AD LDS). Można go użyć jako przykładowego katalogu LDAP do rozwiązywania problemów lub pokazać , jak aprowizować użytkowników z identyfikatora Entra firmy Microsoft do katalogu LDAP.

Przygotowywanie katalogu LDAP

Jeśli nie masz jeszcze serwera katalogów, poniższe informacje są udostępniane w celu ułatwienia utworzenia testowego środowiska usług AD LDS. Ta konfiguracja używa programu PowerShell i pliku ODPOWIEDZI ADAMInstall.exe. Ten dokument nie zawiera szczegółowych informacji na temat usług AD LDS. Aby uzyskać więcej informacji, zobacz Active Directory Lightweight Directory Services.

Jeśli masz już usługę AD LDS lub inny serwer katalogów, możesz pominąć tę zawartość i przejść do sekcji Samouczek: ECMA Połączenie or Host ogólny łącznik LDAP na potrzeby instalowania i konfigurowania hosta łącznika ECMA.

Utwórz certyfikat SSL, katalog testowy i zainstaluj usługę AD LDS.

Użyj skryptu programu PowerShell z dodatku A. Skrypt wykonuje następujące akcje:

  1. Tworzy certyfikat z podpisem własnym, który będzie używany przez łącznik LDAP.
  2. Tworzy katalog dziennika instalacji funkcji.
  3. Eksportuje certyfikat w magazynie osobistym do katalogu.
  4. Importuje certyfikat do zaufanego katalogu głównego komputera lokalnego.
  5. Instaluje rolę usług AD LDS na naszej maszynie wirtualnej.

Na maszynie wirtualnej z systemem Windows Server, na której używasz do testowania łącznika LDAP, edytuj skrypt, aby był zgodny z nazwą komputera, a następnie uruchom skrypt przy użyciu programu Windows PowerShell z uprawnieniami administracyjnymi.

Tworzenie wystąpienia usług AD LDS

Teraz, gdy rola została zainstalowana, musisz utworzyć wystąpienie usług AD LDS. Aby utworzyć wystąpienie, możesz użyć poniższego pliku odpowiedzi. Ten plik zainstaluje wystąpienie po cichu bez użycia interfejsu użytkownika.

Skopiuj zawartość dodatku B do Notatnika i zapisz ją jako answer.txt w "C:\Windows\ADAM".

Teraz otwórz wiersz polecenia z uprawnieniami administracyjnymi i uruchom następujący plik wykonywalny:

C:\Windows\ADAM> ADAMInstall.exe /answer:answer.txt

Tworzenie kontenerów i konta usługi dla usług AD LDS

Użyj skryptu programu PowerShell z dodatku C. Skrypt wykonuje następujące akcje:

  1. Tworzy kontener dla konta usługi, który będzie używany z łącznikiem LDAP.
  2. Tworzy kontener dla użytkowników chmury, w którym użytkownicy będą aprowizowani.
  3. Tworzy konto usługi w usłudze AD LDS.
  4. Włącza konto usługi.
  5. Dodaje konto usługi do roli Administracja istratorów usługi AD LDS.

Na maszynie wirtualnej z systemem Windows Server używasz narzędzia do testowania łącznika LDAP, aby uruchomić skrypt przy użyciu programu Windows PowerShell z uprawnieniami administracyjnymi.

Udzielanie uprawnień do odczytu usługi SIECIOWEJ do certyfikatu SSL

Aby umożliwić działanie protokołu SSL, musisz przyznać usłudze SIECIOWEJ uprawnienia do odczytu do nowo utworzonego certyfikatu. Aby udzielić uprawnień, wykonaj następujące kroki.

  1. Przejdź do folderu C:\Program Data\Microsoft\Crypto\Keys.
  2. Kliknij prawym przyciskiem myszy plik systemowy znajdujący się tutaj. Będzie to identyfikator GUID. Ten kontener przechowuje nasz certyfikat.
    1. Wybierz właściwości.
    2. W górnej części wybierz kartę Zabezpieczenia .
    3. Zaznacz Edytuj.
    4. Kliknij przycisk Dodaj.
    5. W polu wprowadź ciąg Usługa sieciowa i wybierz pozycję Sprawdź nazwy.
    6. Wybierz pozycję USŁUGA SIECIOWA z listy i kliknij przycisk OK.
    7. Kliknij przycisk OK.
    8. Upewnij się, że konto usługi sieciowej ma uprawnienia do odczytu i odczytu i wykonywania, a następnie kliknij przycisk Zastosuj i OK.

Weryfikowanie łączności SSL z usługą AD LDS

Po skonfigurowaniu certyfikatu i udzieleniu uprawnień konta usługi sieciowej przetestuj łączność, aby sprawdzić, czy działa.

  1. Otwórz Menedżer serwera i wybierz pozycję AD LDS po lewej stronie
  2. Kliknij prawym przyciskiem myszy wystąpienie usługi AD LDS i wybierz pozycję ldp.exe z wyskakującego okienka. Screenshot that shows the Ldp tool location.
  3. W górnej części pliku ldp.exe wybierz pozycję Połączenie ion i Połączenie.
  4. Wprowadź następujące informacje i kliknij przycisk OK.
    • Serwer: APP3
    • Port: 636
    • Umieść zaznaczenie w polu SSL Screenshot that shows the Ldp tool connection configuration.
  5. Powinna zostać wyświetlona odpowiedź podobna do poniższego zrzutu ekranu. Screenshot that shows the Ldp tool connection configuration success.
  6. U góry w obszarze Połączenie ion wybierz pozycję Powiąż.
  7. Pozostaw wartości domyślne i kliknij przycisk OK. Screenshot that shows the Ldp tool bind operation.
  8. Teraz powinno nastąpić pomyślne powiązanie z wystąpieniem. Screenshot that shows the Ldp tool bind success.

Wyłączanie lokalnych zasad haseł

Obecnie łącznik LDAP aprowizuje użytkowników z pustym hasłem. Ta aprowizacja nie spełnia wymagań lokalnych zasad haseł na naszym serwerze, dlatego wyłączymy je do celów testowych. Aby wyłączyć złożoność hasła, na serwerze nieprzyłączonych do domeny wykonaj następujące kroki.

Ważne

Ponieważ synchronizacja haseł w trybie lokalnym nie jest funkcją lokalnej aprowizacji LDAP, firma Microsoft zaleca, aby usługi AD LDS były używane specjalnie z aplikacjami federacyjnymi, w połączeniu z usługami AD DS lub podczas aktualizowania istniejących użytkowników w wystąpieniu usług AD LDS.

  1. Na serwerze kliknij przycisk Start, Uruchom, a następnie gpedit.msc
  2. W edytorze lokalnych zasad grupy przejdź do konfiguracji > komputera Systemu Windows Ustawienia > zabezpieczenia Ustawienia > zasady haseł zasad > konta
  3. Po prawej stronie kliknij dwukrotnie pozycję Hasło musi spełniać wymagania dotyczące złożoności i wybrać pozycję Wyłączone. Screenshot of the complexity requirements setting.
  4. Kliknij przycisk Zastosuj i ok
  5. Zamknij edytor lokalnych zasad grupy

Następnie przejdź do wskazówek dotyczących aprowizacji użytkowników z witryny Microsoft Entra ID do katalogu LDAP, aby pobrać i skonfigurować agenta aprowizacji.

Dodatek A — instalowanie skryptu programu PowerShell usługi AD LDS

Poniższy skrypt programu PowerShell może służyć do automatyzowania instalacji usług Active Directory Lightweight Directory. Musisz edytować skrypt, aby był zgodny ze środowiskiem; w szczególności zmień APP3 nazwę hosta komputera.

# Filename:    1_SetupADLDS.ps1
# Description: Creates a certificate that will be used for SSL and installs Active Directory Lighetweight Directory Services.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$DNSName = 'APP3'
$CertLocation = 'cert:\LocalMachine\MY'
$logpath = "c:\" 
$dirname = "test"
$dirtype = "directory"
$featureLogPath = "c:\test\featurelog.txt" 

#Create a new self-signed certificate
New-SelfSignedCertificate -DnsName $DNSName -CertStoreLocation $CertLocation

#Create directory
New-Item -Path $logpath -Name $dirname -ItemType $dirtype

#Export the certificate from the local machine personal store
Get-ChildItem -Path cert:\LocalMachine\my | Export-Certificate -FilePath c:\test\allcerts.sst -Type SST

#Import the certificate in to the trusted root
Import-Certificate -FilePath "C:\test\allcerts.sst" -CertStoreLocation cert:\LocalMachine\Root


#Install AD LDS
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ADLDS" -IncludeAllSubFeature -IncludeManagementTools 
 } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

Dodatek B — plik odpowiedzi

Ten plik służy do automatyzowania i tworzenia wystąpienia usług AD LDS. Ten plik zostanie edytowany w taki sposób, aby był zgodny ze swoim środowiskiem; w szczególności zmień APP3 nazwę hosta serwera.

Ważne

Ten skrypt używa administratora lokalnego dla konta usługi AD LDS i ma swoje hasło zakodowane w odpowiedziach. Ta akcja dotyczy tylko testowania i nigdy nie powinna być używana w środowisku produkcyjnym.

Jeśli instalujesz usługę AD LDS na kontrolerze domeny, a nie na serwerze członkowskim lub autonomicznym, musisz zmienić ustawienia LocalLDAPPortToListenOn i LocalSSLPortToListonOn na inne niż dobrze znane porty ldap i LDAP za pośrednictwem protokołu SSL. Na przykład LocalLDAPPortToListenOn=51300 i LocalSSLPortToListenOn=51301.

 [ADAMInstall]
 InstallType=Unique
 InstanceName=AD-APP-LDAP
 LocalLDAPPortToListenOn=389
 LocalSSLPortToListenOn=636
 NewApplicationPartitionToCreate=CN=App,DC=contoso,DC=lab
 DataFilesPath=C:\Program Files\Microsoft ADAM\AD-APP-LDAP\data
 LogFilesPath=C:\Program Files\Microsoft ADAM\AD-APP-LDAP\data
 ServiceAccount=APP3\Administrator
 ServicePassword=Pa$$Word1
 AddPermissionsToServiceAccount=Yes
 Administrator=APP3\Administrator
 ImportLDIFFiles="MS-User.LDF"
 SourceUserName=APP3\Administrator
 SourcePassword=Pa$$Word1

Dodatek C — wypełnianie skryptu programu PowerShell usług AD LDS

Skrypt programu PowerShell służący do wypełniania usług AD LDS kontenerami i kontem usługi.

# Filename:    2_PopulateADLDS.ps1
# Description: Populates our AD LDS environment with 2 containers and a service account

# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
# Create service accounts container
New-ADObject -Name "ServiceAccounts" -Type "container" -Path "CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Creating ServiceAccounts container"

# Create cloud users container
New-ADObject -Name "CloudUsers" -Type "container" -Path "CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Creating CloudUsers container"

# Create a new service account
New-ADUser -name "svcAccountLDAP" -accountpassword  (ConvertTo-SecureString -AsPlainText 'Pa$$1Word' -Force) -Displayname "LDAP Service Account" -server 'APP3:389' -path "CN=ServiceAccounts,CN=App,DC=contoso,DC=lab"
Write-Output "Creating service account"

# Enable the new service account
Enable-ADAccount -Identity "CN=svcAccountLDAP,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Enabling service account"

# Add the service account to the Administrators role
Get-ADGroup -Server "APP3:389" -SearchBase "CN=Administrators,CN=Roles,CN=App,DC=contoso,DC=lab" -Filter "name -like 'Administrators'" | Add-ADGroupMember -Members "CN=svcAccountLDAP,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab"
Write-Output "Adding service accounnt to Administrators role"

Następne kroki