▶️ Configuración de LDAP sobre SSL (LDAPS)

Descripción
Este artículo describe cómo configurar LDAP sobre SSL.
El tráfico LDAP está protegido por SSL.

Solución
En este escenario, se utiliza un servidor Microsoft Windows Active Directory (AD) como entidad emisora de certificados (CA).
Los servicios de certificados se han agregado como un rol y el certificado de CA ya está disponible para exportar.

1) Servidor de la autoridad de certificación de Microsoft Windows:

en el servidor AD, ejecute MMC (Microsoft Management Console).
Vaya a Archivo y seleccione ‘Agregar o quitar complemento’, seleccione ‘Certificados’ y luego seleccione ‘Agregar’:

Seleccione ‘Cuenta de computadora’:

Seleccione ‘Computadora local’ y seleccione ‘Finalizar’:

‘Certificados’ aparece en el lado izquierdo.
Expanda el árbol y vaya a Personal -> Certificados .
Seleccione el certificado, vaya a Todas las tareas y seleccione ‘Exportar’:

Aparece el Asistente de exportación de certificados, seleccione ‘siguiente’:

No exporte la clave privada:

DER seleccionado (formato de archivo):

Especifique el nombre del archivo y seleccione ‘siguiente’:

Complete el Asistente de exportación de certificados y seleccione ‘Finalizar’:

Hay un mensaje de éxito después de finalizar este asistente.

2) FortiGate.

Importe el certificado de CA (que se ha exportado en los pasos anteriores) en FortiGate.
Vaya a Sistema -> Certificados > seleccione ‘Importar certificado CA’ y cargue el archivo:

Cree un nuevo servidor ‘LDAPS’ desde la GUI y seleccione el certificado importado:

Nota:
-Si no se selecciona ningún certificado, FortiGate aceptará cualquier cosa del servidor LDAPS.
– Si se selecciona un certificado, FortiGate solo aceptará certificados firmados por ese certificado de CA.

Depuración:
verifique la comunicación entre FortiGate y el servidor AD mediante la captura y el rastreador de paquetes.
Después del apretón de manos de 3 vías, puede ver la transacción entre el cliente y el servidor.
‘Hola Exchange’ -> Cliente Hola -> Servidor Hola -> Servidor Hola Listo.

El certificado enviado por el servidor LDAPS se ve en el paquete etiquetado como ‘Certificado, Intercambio de clave de cliente,…’.

A diferencia de LDAP regular sobre tcp/389, no es posible ver las consultas y respuestas de LDAP.

Sin embargo, para fines de resolución de problemas, el LDAP no seguro puede ser útil.

# diagnose sniffer packet any «host 192.168.252.133 and port 636»
interfaces=[any] filters=[host 192.168.252.133 and port 636] 3.653907 192.168.252.187.11640 -> 192.168.252.133.636: syn 2104591803
3.655022 192.168.252.133.636 -> 192.168.252.187.11640: syn 3985690082 ack 2104591804
3.655066 192.168.252.187.11640 -> 192.168.252.133.636: ack 3985690083
3.655524 192.168.252.187.11640 -> 192.168.252.133.636: psh 2104591804 ack 3985690083
3.656473 192.168.252.133.636 -> 192.168.252.187.11640: 3985690083 ack 2104592128

¿Te ha resultado útil??

1 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre FortiGate

Autenticación en el portal cautivo: basada en políticas
Buenas, me llamo César Sánchez y hoy vamos a aprender sobre: Autenticación en el portal cautivo: basada en políticas Descripción Este artículo trata sobre la configuración básica de la autenticación del portal cautivo mediante políticas. Alcance FortiOS v6.0 y superior. Solución Configurar la autenticación del portal cautivo basada en políticas. 1) Crear un usuario. Para Leer
Enrutamiento dinámico (BGP) sobre túnel ipsec
Descripción Este artículo contiene la configuración necesaria para habilitar el enrutamiento dinámico (BGP aquí) a través de un túnel estático IPsec Solución Los comandos ‘ip’ y ‘remote-ip’ deben configurarse para ambas interfaces de túnel (consulte el diagrama a continuación). Estas direcciones IP se utilizan para terminar la conectividad IP del túnel a fin de Leer
Modo Web SSL-VPN con combinación de IP Pools
Bienvenidos 👍, soy Mila Jiménez y vengo a contaros: 🔽 Modo Web SSL-VPN con combinación de IP Pools En las versiones v6 de FortiOS un pool de IPs adjuntado en una política de firewall podía ser utilizado normalmente para acceder a marcadores o recursos internos a través del modo web SSL-VPN basado en la IP Leer
Consejo para la solución de problemas: El protocolo propietario de Cisco para el puerto de VoIP 2000 Programmable logic controller(PLC) system no se reenviará con la configuración predeterminada de FortiGate SCCP.
Bienvenidos, por si no me conocéis soy Mila Jiménez y me apetecía escribir sobre: Consejo para la solución de problemas: El protocolo propietario de Cisco para el puerto de VoIP 2000 Programmable logic controller(PLC) system no se reenviará con la configuración predeterminada de FortiGate SCCP. La conexión (puerto 2000) se ha interrumpido entre el sistema Leer
Equilibrio de carga WAN (basado en volumen) y conexiones a Internet redundantes
Descripción Equilibrio de carga WAN (basado en volumen) y conexiones a Internet redundantes. Solución 1. Conexión de ISP a FortiGate Conecte los dispositivos ISP a FortiGate de modo que el ISP que se usará para la mayor parte del tráfico se conecte a WAN1 y el otro se conecte a WAN2. 2. Eliminación de políticas Leer