Självstudie: Konfigurera säkert LDAP för en Azure Active Directory Domain Services-hanterad domän

För att kommunicera med Azure Active Directory Domain Services (Azure AD DS) används Lightweight Directory Access Protocol (LDAP). Som standard är LDAP-trafiken inte krypterad, vilket är en säkerhetsrisk för många miljöer.

Med Azure AD DS kan du konfigurera den hanterade domänen att använda säker Lightweight Directory Access Protocol (LDAPS). När du använder säkert LDAP krypteras trafiken. säkert LDAP kallas även LDAP over Secure Sockets Layer (SSL) /Transport Layer Security (TLS).

Den här självstudien visar hur du konfigurerar LDAPS för en Azure AD DS hanterad domän.

I den här guiden får du lära dig att:

Om du inte har någon Azure-prenumeration skapar du ett konto innan du börjar.

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

• En aktiv Azure-prenumeration.
  • Om du inte har en Azure-prenumeration skapar du ett konto.
• En Azure Active Directory klient som är associerad med din prenumeration, antingen synkroniserad med en lokal katalog eller en endast molnbaserad katalog.
  • Om det behövs skapar du en Azure Active Directory eller associerar en Azure-prenumeration med ditt konto.
• En Azure Active Directory Domain Services-hanterad domän aktiverad och konfigurerad i din Azure AD-klientorganisation.
  • Om det behövs skapar och konfigurerar du en Azure Active Directory Domain Services-hanterad domän.
• Verktyget LDP.exe installerat på datorn.
  • Om det behövs installerar du verktyg för fjärrserveradministration (RSAT) för Active Directory Domain Services och LDAP.

Logga in på Azure Portal

I den här självstudien konfigurerar du säkert LDAP för den hanterade domänen med hjälp av Azure Portal. Kom igång genom att först logga in på Azure Portal.

Skapa ett certifikat för säkert LDAP

För att använda säkert LDAP används ett digitalt certifikat för att kryptera kommunikationen. Det här digitala certifikatet tillämpas på din hanterade domän och låter verktyg som LDP.exe använda säker krypterad kommunikation när du frågar efter data. Det finns två sätt att skapa ett certifikat för säker LDAP-åtkomst till den hanterade domänen:

• Ett certifikat från en offentlig certifikatutfärdare (CA) eller en företagscertifikatutfärdare.
  • Om din organisation hämtar certifikat från en offentlig certifikatutfärdare hämtar du det säkra LDAP-certifikatet från den offentliga certifikatutfärdaren. Om du använder en företagscertifikatutfärdare i din organisation hämtar du det säkra LDAP-certifikatet från företagscertifikatutfärdaren.
  • En offentlig certifikatutfärdare fungerar bara när du använder ett anpassat DNS-namn med din hanterade domän. Om DNS-domännamnet för den hanterade domänen slutar i .onmicrosoft.com kan du inte skapa ett digitalt certifikat för att skydda anslutningen till den här standarddomänen. Microsoft äger .onmicrosoft.com domänen, så en offentlig certifikatutfärdare utfärdar inget certifikat. I det här scenariot skapar du ett själv signerat certifikat och använder det för att konfigurera säkert LDAP.
• Ett själv signerat certifikat som du skapar själv.
  • Den här metoden är bra för testning och är det som visas i den här självstudien.

Certifikatet du begär eller skapar måste uppfylla följande krav. Den hanterade domänen stöter på problem om du aktiverar säkert LDAP med ett ogiltigt certifikat:

• Betrodd utfärdare – Certifikatet måste utfärdas av en utfärdare som är betrodd av datorer som ansluter till den hanterade domänen med hjälp av säkert LDAP. Den här behörigheten kan vara en offentlig certifikatutfärdare eller en företags-CA som är betrodd av dessa datorer.
• Livslängd – Certifikatet måste vara giltigt i minst de kommande 3–6 månaderna. säkert LDAP åtkomsten till din hanterade domän avbryts när certifikatet upphör att gälla.
• Ämnesnamn – Ämnesnamnet på certifikatet måste vara din hanterade domän. Om din domän till exempel heter aaddscontoso.com måste certifikatets ämnesnamn vara *.aaddscontoso.com.
  • DNS-namnet eller alternativt ämnesnamn för certifikatet måste vara ett jokerteckencertifikat för att säkerställa att det säkra LDAP fungerar korrekt med Azure AD Domain Services. Domänkontrollanter använder slumpmässiga namn och kan tas bort eller läggas till för att säkerställa att tjänsten förblir tillgänglig.
• Nyckelanvändning – Certifikatet måste konfigureras för digitala signaturer och nyckelchiffrering.
• Certifikatsyfte – Certifikatet måste vara giltigt för TLS-serverautentisering.

Det finns flera verktyg för att skapa självsignerade certifikat, till exempel OpenSSL, Keytool, MakeCert, New-SelfSignedCertificate cmdlet osv.

I den här självstudien ska vi skapa ett självsignerat certifikat för säkert LDAP med hjälp av cmdleten New-SelfSignedCertificate.

Öppna ett PowerShell-fönster som administratör och kör följande kommandon. Ersätt variabeln $dnsName dns-namnet som används av din egen hanterade domän, till exempel aaddscontoso.com:

# Define your own DNS name used by your managed domain
$dnsName="aaddscontoso.com"

# Get the current date to set a one-year expiration
$lifetime=Get-Date

# Create a self-signed certificate for use with Azure AD DS
New-SelfSignedCertificate -Subject *.$dnsName `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName

Följande exempelutdata visar att certifikatet har genererats och lagras i det lokala certifikatarkivet (LocalMachine\MY):

PS C:\WINDOWS\system32> New-SelfSignedCertificate -Subject *.$dnsName `
>>   -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
>>   -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName.com

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\MY

Thumbprint                                Subject
----------                                -------
959BD1531A1E674EB09E13BD8534B2C76A45B3E6  CN=aaddscontoso.com

Förstå och exportera nödvändiga certifikat

Om du vill använda säkert LDAP krypteras nätverkstrafiken med hjälp av PKI (Public Key Infrastructure).

• En privat nyckel tillämpas på den hanterade domänen.
  • Den här privata nyckeln används för att dekryptera den säkra LDAP-trafiken. Den privata nyckeln bör endast tillämpas på den hanterade domänen och inte distribueras till klientdatorer.
  • Ett certifikat som innehåller den privata nyckeln använder . PFX-filformat.
  • När du exporterar certifikatet måste du ange krypteringsalgoritmen TripleDES-SHA1. Detta gäller endast pfx-filen och påverkar inte algoritmen som används av själva certifikatet. Observera att alternativet TripleDES-SHA1 endast är tillgängligt från och med Windows Server 2016.
• En offentlig nyckel tillämpas på klientdatorerna.
  • Den här offentliga nyckeln används för att kryptera den säkra LDAP-trafiken. Den offentliga nyckeln kan distribueras till klientdatorer.
  • Certifikat utan den privata nyckeln använder . CER-filformat.

Dessa två nycklar, de privata och offentliga nycklarna, ser till att endast lämpliga datorer kan kommunicera med varandra. Om du använder en offentlig certifikatutfärdare eller företagscertifikatutfärdare får du ett certifikat som innehåller den privata nyckeln och som kan tillämpas på en hanterad domän. Den offentliga nyckeln bör redan vara känd och betrodd av klientdatorer.

I den här självstudien har du skapat ett själv signerat certifikat med den privata nyckeln, så du måste exportera lämpliga privata och offentliga komponenter.

Exportera ett certifikat för Azure AD DS

Innan du kan använda det digitala certifikatet som skapades i föregående steg med din hanterade domän exporterar du certifikatet till en . PFX-certifikatfil som innehåller den privata nyckeln.

1. Öppna dialogrutan Kör genom att välja Windows + R-nycklar.

2. Öppna Microsoft Management Console (MMC) genom att ange mmc i dialogrutan Kör och välj sedan OK.

3. I dialogrutan User Account Control väljer du Ja för att starta MMC som administratör.

4. På Arkiv-menyn väljer du Lägg till/ta bort snapin-modulen...

5. I guiden Certifikat snapin-modulen väljer du Datorkonto och sedan Nästa.

6. På sidan Välj dator väljer du Lokal dator: (den dator som konsolen körs på) och väljer sedan Slutför.

7. I dialogrutan Lägg till eller ta bort snapin-modulen väljer du OK för att lägga till snapin-modulen för certifikat i MMC.

8. Expandera Konsolrot i MMC-fönstret. Välj Certifikat (lokal dator) och expandera sedan noden Personligt följt av noden Certifikat.

   

9. Det själv signerade certifikatet som skapades i föregående steg visas, till exempel aaddscontoso.com. Högerklicka på det här certifikatet och välj sedan Alla aktiviteter > Exportera...

   

10. I guiden Exportera certifikat väljer du Nästa.

11. Den privata nyckeln för certifikatet måste exporteras. Om den privata nyckeln inte ingår i det exporterade certifikatet misslyckas åtgärden för att aktivera säkert LDAP för din hanterade domän.

    På sidan Exportera privat nyckel väljer du Ja, exporterar den privata nyckeln och väljer sedan Nästa.

12. Hanterade domäner stöder endast . PFX-certifikatfilformat som innehåller den privata nyckeln. Exportera inte certifikatet som . CER-certifikatfilformat utan den privata nyckeln.

    På sidan Filformat för export väljer du Personlig information Exchange - PKCS #12 (. PFX) som filformat för det exporterade certifikatet. Markera kryssrutan för Inkludera alla certifikat i certifieringssökvägen om det är möjligt:

    

13. Eftersom det här certifikatet används för att dekryptera data bör du kontrollera åtkomsten noggrant. Ett lösenord kan användas för att skydda användningen av certifikatet. Utan rätt lösenord kan certifikatet inte tillämpas på en tjänst.

    På sidan Säkerhet väljer du alternativet Lösenord för att skydda . PFX-certifikatfil. Krypteringsalgoritmen måste vara TripleDES-SHA1. Ange och bekräfta ett lösenord och välj sedan Nästa. Det här lösenordet används i nästa avsnitt för att aktivera säkert LDAP för din hanterade domän.

    Om du exporterar med powershell-cmdleten export-pfxcertificatemåste du skicka flaggan -CryptoAlgorithmOption med hjälp av TripleDES_SHA1.

    

14. På sidan Fil som ska exporteras anger du filnamnet och platsen där du vill exportera certifikatet, till exempel C:\Users\accountname\azure-ad-ds.pfx. Anteckna lösenordet och platsen för . PFX-fil eftersom den här informationen skulle krävas i nästa steg.

15. På granskningssidan väljer du Slutför för att exportera certifikatet till en . PFX-certifikatfil. En bekräftelsedialogruta visas när certifikatet har exporterats.

16. Lämna MMC öppet för användning i följande avsnitt.

Exportera ett certifikat för klientdatorer

Klientdatorer måste lita på utfärdaren av det säkra LDAP-certifikatet för att kunna ansluta till den hanterade domänen med LDAPS. Klientdatorerna behöver ett certifikat för att kryptera data som dekrypteras av Azure AD DS. Om du använder en offentlig certifikatutfärdare bör datorn automatiskt lita på dessa certifikatutfärdare och ha ett motsvarande certifikat.

I den här självstudien använder du ett själv signerat certifikat och genererade ett certifikat som innehåller den privata nyckeln i föregående steg. Nu ska vi exportera och sedan installera det själv signerade certifikatet i det betrodda certifikatarkivet på klientdatorn:

1. Gå tillbaka till MMC för certifikat (lokal dator) > personliga > certifikatarkiv. Det själv signerade certifikatet som skapades i ett tidigare steg visas, till exempel aaddscontoso.com. Högerklicka på det här certifikatet och välj sedan Alla aktiviteter > Exportera...

2. I guiden Exportera certifikat väljer du Nästa.

3. Eftersom du inte behöver den privata nyckeln för klienter väljer du Nej på sidan Exportera privat nyckel, exportera inte den privata nyckeln och väljer sedan Nästa.

4. På sidan Filformat för export väljer du Base-64-kodad X.509 (. CER) som filformat för det exporterade certifikatet:

   

5. På sidan Fil som ska exporteras anger du det filnamn och den plats där du vill exportera certifikatet, till exempel C:\Users\accountname\azure-ad-ds-client.cer.

6. På granskningssidan väljer du Slutför för att exportera certifikatet till en . CER-certifikatfil. En bekräftelsedialogruta visas när certifikatet har exporterats.

. CER-certifikatfilen kan nu distribueras till klientdatorer som behöver lita på den säkra LDAP-anslutningen till den hanterade domänen. Nu ska vi installera certifikatet på den lokala datorn.

1. Öppna Utforskaren och bläddra till den plats där du sparade . CER-certifikatfil, till exempel C:\Users\accountname\azure-ad-ds-client.cer.

2. Högerklicka på . CER-certifikatfil och välj sedan Installera certifikat.

3. I guiden Importera certifikat väljer du att lagra certifikatet på den lokala datorn och väljer sedan Nästa:

   

4. När du uppmanas väljer du Ja för att tillåta att datorn gör ändringar.

5. Välj automatiskt certifikatarkivet baserat på typen av certifikat och välj sedan Nästa.

6. På granskningssidan väljer du Slutför för att importera . CER-certifikat. fil En bekräftelsedialogruta visas när certifikatet har importerats.

Aktivera säkert LDAP för Azure AD DS

När ett digitalt certifikat har skapats och exporterats som innehåller den privata nyckeln och klientdatorn har angetts att lita på anslutningen, aktiverar du nu säkert LDAP på din hanterade domän. Utför följande konfigurationssteg för att aktivera säkert LDAP på en hanterad domän:

1. I rutan Azure Portalanger du domäntjänster i rutan Sök resurser. Välj Azure AD Domain Services från sökresultatet.

2. Välj din hanterade domän, till exempel aaddscontoso.com.

3. Till vänster i fönstret Azure AD DS väljer du säkert LDAP.

4. Som standard är säker LDAP-åtkomst till din hanterade domän inaktiverad. Växla säkert LDAP till Aktivera.

5. säkert LDAP åtkomst till din hanterade domän via Internet är inaktiverad som standard. När du aktiverar offentlig säker LDAP-åtkomst är din domän sårbar för nyckelsökningsangrepp mot lösenord via Internet. I nästa steg konfigureras en nätverkssäkerhetsgrupp för att låsa åtkomsten till endast de ip-källadressintervall som krävs.

   Växla Tillåt säker LDAP-åtkomst via Internet till Aktivera.

6. Välj mappikonen bredvid . PFX-fil med säkert LDAP-certifikat. Bläddra till sökvägen för . PFX-filen och välj sedan certifikatet som skapades i ett tidigare steg som innehåller den privata nyckeln.

   Viktigt

   Som vi nämnt i föregående avsnitt om certifikatkrav kan du inte använda ett certifikat från en offentlig certifikatutfärdare med standarddomänen .onmicrosoft.com. Microsoft äger .onmicrosoft.com domänen, så en offentlig certifikatutfärdare utfärdar inget certifikat.

   Kontrollera att certifikatet har rätt format. Om den inte är det genererar Azure-plattformen certifikatverifieringsfel när du aktiverar säkert LDAP.

7. Ange lösenordet för att dekryptera . PFX-fil som angetts i ett tidigare steg när certifikatet exporterades till en . PFX-fil.

8. Välj Spara för att aktivera säkert LDAP.

   

Ett meddelande visas om att säkert LDAP konfigureras för den hanterade domänen. Du kan inte ändra andra inställningar för den hanterade domänen förrän den här åtgärden har slutförts.

Det tar några minuter att aktivera säkert LDAP för din hanterade domän. Om det säkra LDAP-certifikat som du anger inte matchar de kriterier som krävs misslyckas åtgärden för att aktivera säkert LDAP för den hanterade domänen.

Några vanliga orsaker till fel är om domännamnet är felaktigt, krypteringsalgoritmen för certifikatet inte är TripleDES-SHA1, eller om certifikatet upphör snart eller redan har upphört att gälla. Du kan skapa certifikatet på nytt med giltiga parametrar och sedan aktivera säkert LDAP med hjälp av det uppdaterade certifikatet.

Ändra ett utgånget certifikat

1. Skapa ett säkert LDAP-ersättningscertifikat genom att följa stegen för att skapa ett certifikat för säkert LDAP.
2. Om du vill tillämpa ersättningscertifikatet på Azure AD DS du i den vänstra menyn för Azure AD DS i Azure Portal väljer säkert LDAP och väljer sedan Ändra certifikat.
3. Distribuera certifikatet till alla klienter som ansluter med hjälp av säkert LDAP.

Låsa säker LDAP-åtkomst via Internet

När du aktiverar säker LDAP-åtkomst via Internet till din hanterade domän skapas ett säkerhetshot. Den hanterade domänen kan nås från Internet på TCP-port 636. Vi rekommenderar att du begränsar åtkomsten till den hanterade domänen till specifika kända IP-adresser för din miljö. En regel för Nätverkssäkerhetsgrupp i Azure kan användas för att begränsa åtkomsten till säkert LDAP.

Nu ska vi skapa en regel som tillåter inkommande säker LDAP-åtkomst via TCP-port 636 från en angiven uppsättning IP-adresser. En standardregel för DenyAll med lägre prioritet gäller för all annan inkommande trafik från Internet, så att endast de angivna adresserna kan nå din hanterade domän med hjälp av säkert LDAP.

1. I Azure Portal väljer du Resursgrupper i det vänstra navigeringsfönstret.

2. Välj din resursgrupp, till exempel myResourceGroup, och välj sedan din nätverkssäkerhetsgrupp, till exempel aaads-nsg.

3. Listan över befintliga inkommande och utgående säkerhetsregler visas. Till vänster i fönstret för nätverkssäkerhetsgruppen väljer du Inställningar > inkommande säkerhetsregler.

4. Välj Lägg till och skapa sedan en regel för att tillåta TCP-port 636. För bättre säkerhet väljer du källan som IP-adresser och anger sedan din egen giltiga IP-adress eller ditt intervall för din organisation.

   Inställning	Värde
   Källa	IP-adresser
   Käll-IP-adresser/CIDR-intervall	En giltig IP-adress eller ett intervall för din miljö
   Källportintervall	*
   Mål	Valfri
   Målportintervall	636
   Protokoll	TCP
   Åtgärd	Tillåt
   Prioritet	401
   Name	AllowLDAPS

5. När du är klar väljer du Lägg till för att spara och tillämpa regeln.

   

Konfigurera DNS-zon för extern åtkomst

När säker LDAP-åtkomst är aktiverad via Internet uppdaterar du DNS-zonen så att klientdatorerna kan hitta den här hanterade domänen. Den säkert LDAP externa IP-adressen visas på fliken Egenskaper för din hanterade domän:

Konfigurera din externa DNS-provider för att skapa en värdpost, till exempel ldaps, för att matcha mot den här externa IP-adressen. Om du vill testa lokalt på datorn först kan du skapa en post i Windows värdar. Om du vill redigera värdfilen på den lokala datorn öppnar du Anteckningar som administratör och öppnar sedan filen C:\Windows\System32\drivers\etc\hosts

Följande DNS-exempelpost, antingen med din externa DNS-provider eller i den lokala värdfilen, matchar trafik för ldaps.aaddscontoso.com till den externa IP-adressen 168.62.205.103:

168.62.205.103    ldaps.aaddscontoso.com

Testa frågor till den hanterade domänen

Om du vill ansluta och binda till din hanterade domän och söka över LDAP använderLDP.exeverktyget. Det här verktyget ingår i verktyg för fjärrserveradministration (RSAT)-paketet. Mer information finns i installera verktyg för fjärrserveradministration.

1. Öppna LDP.exeoch anslut till den hanterade domänen. Välj Anslutning och välj sedan Anslut....
2. Ange det säkra LDAP DNS-domännamnet för den hanterade domän som skapades i föregående steg, till exempel ldaps.aaddscontoso.com. Om du vill använda säkert LDAP anger du Port till 636 och markerar sedan kryssrutan för SSL.
3. Välj OK för att ansluta till den hanterade domänen.

Bind sedan till din hanterade domän. Användare (och tjänstkonton) kan inte utföra enkla LDAP-bindningar om du har inaktiverat SYNKRONISERING av NTLM-lösenordshashar på din hanterade domän. Mer information om hur du inaktiverar synkronisering av NTLM-lösenordshashar finns i Skydda din hanterade domän.

1. Välj menyalternativet Anslutning och välj sedan Bind....
2. Ange autentiseringsuppgifterna för ett användarkonto som tillhör den hanterade domänen. Ange användarkontot lösenord och ange sedan din domän, till exempel aaddscontoso.com.
3. För Bindningstyp väljer du alternativet Bind med autentiseringsuppgifter.
4. Välj OK för att binda till din hanterade domän.

Så här ser du objekt som lagras i din hanterade domän:

1. Välj menyalternativet Visa och välj sedan Träd.

2. Lämna fältet BaseDN tomt och välj sedan OK.

3. Välj en container, till exempel AADDC-användare, och högerklicka sedan på containern och välj Sök.

4. Lämna de förifyllda fälten inställda och välj sedan Kör. Resultatet av frågan visas i det högra fönstret, som du ser i följande exempelutdata:

   

Om du vill fråga en specifik container direkt från menyn Visa >-träd kan du ange ett BaseDN som OU=AADDC-användare,DC=AADDSCONTOSO,DC=COM eller OU=AADDC Computers,DC=AADDSCONTOSO,DC=COM. Mer information om hur du formaterar och skapar frågor finns i Grundläggande om LDAP-frågor.

Rensa resurser

Om du har lagt till en DNS-post i datorns lokala värdfil för att testa anslutningen för den här självstudien tar du bort den här posten och lägger till en formell post i DNS-zonen. Om du vill ta bort posten från den lokala värdfilen utför du följande steg:

1. Öppna den lokala datorn Anteckningar som administratör
2. Bläddra till och öppna filen C:\Windows\System32\drivers\etc\hosts
3. Ta bort raden för den post som du har lagt till, till exempel 168.62.205.103 ldaps.aaddscontoso.com

Felsökning

Om du ser ett felmeddelande om att LDAP.exe inte kan ansluta kan du prova att gå igenom de olika aspekterna av att hämta anslutningen:

1. Konfigurera domänkontrollanten
2. Konfigurera klienten
3. Nätverk
4. Upprätta TLS-sessionen

För matchning av certifikatämnesnamn använder domänkontrollanten Azure AD DS domännamnet (inte Azure AD-domännamnet) för att söka efter certifikatets certifikatarkiv. Stavfel kan till exempel förhindra att domänkontrollanten väljer rätt certifikat.

Klienten försöker upprätta TLS-anslutningen med hjälp av det namn som du angav. Trafiken måste komma hela vägen. Domänkontrollanten skickar den offentliga nyckeln för serverauth-certifikatet. Certifikatet måste ha rätt användning i certifikatet. Namnet som är inskrivet i ämnesnamnet måste vara kompatibelt för att klienten ska lita på att servern är det DNS-namn som du ansluter till (det vill säga att ett jokertecken fungerar utan stavfel) och klienten måste lita på utfärdaren. Du kan söka efter eventuella problem i kedjan i systemloggen i Loggboken och filtrera de händelser där källan är lika med Schannel. När de här delarna är på plats utgör de en sessionsnyckel.

Mer information finns i TLS Handshake.

Nästa steg

I den här självstudiekursen lärde du dig att: