Configuración de LDAP sobre SSL (LDAPS)

Descripción
Este artículo describe cómo configurar LDAP sobre SSL.
El tráfico LDAP está protegido por SSL.

Solución
En este escenario, se utiliza un servidor Microsoft Windows Active Directory (AD) como entidad emisora ​​de certificados (CA).
Los servicios de certificados se han agregado como un rol y el certificado de CA ya está disponible para exportar.

1) Servidor de la autoridad de certificación de Microsoft Windows:

en el servidor AD, ejecute MMC (Microsoft Management Console).
Vaya a Archivo y seleccione ‘Agregar o quitar complemento’, seleccione ‘Certificados’ y luego seleccione ‘Agregar’:


Seleccione ‘Cuenta de computadora’:
Seleccione ‘Computadora local’ y seleccione ‘Finalizar’:
 
 
 
‘Certificados’ aparece en el lado izquierdo.
Expanda el árbol y vaya a Personal -> Certificados .
Seleccione el certificado, vaya a Todas las tareas y seleccione ‘Exportar’:
Aparece el Asistente de exportación de certificados, seleccione ‘siguiente’:
 
 

 
 
No exporte la clave privada:
 
DER seleccionado (formato de archivo):
 
 

 
 
Especifique el nombre del archivo y seleccione ‘siguiente’:
Complete el Asistente de exportación de certificados y seleccione ‘Finalizar’:
 
 

 
Hay un mensaje de éxito después de finalizar este asistente.
 
2) FortiGate.
 
Importe el certificado de CA (que se ha exportado en los pasos anteriores) en FortiGate.
Vaya a Sistema -> Certificados > seleccione ‘Importar certificado CA’ y cargue el archivo:
 
 
 
Cree un nuevo servidor ‘LDAPS’ desde la GUI y seleccione el certificado importado:
Nota:
 -Si no se selecciona ningún certificado, FortiGate aceptará cualquier cosa del servidor LDAPS.
– Si se selecciona un certificado, FortiGate solo aceptará certificados firmados por ese certificado de CA.
Depuración:
verifique la comunicación entre FortiGate y el servidor AD mediante la captura y el rastreador de paquetes.
Después del apretón de manos de 3 vías, puede ver la transacción entre el cliente y el servidor.
‘Hola Exchange’ -> Cliente Hola -> Servidor Hola -> Servidor Hola Listo.
 
 

 
El certificado enviado por el servidor LDAPS se ve en el paquete etiquetado como ‘Certificado, Intercambio de clave de cliente,…’.
A diferencia de LDAP regular sobre tcp/389, no es posible ver las consultas y respuestas de LDAP.
Sin embargo, para fines de resolución de problemas, el LDAP no seguro puede ser útil.
# diagnose sniffer packet any «host 192.168.252.133 and port 636»
interfaces=[any] filters=[host 192.168.252.133 and port 636] 3.653907 192.168.252.187.11640 -> 192.168.252.133.636: syn 2104591803
3.655022 192.168.252.133.636 -> 192.168.252.187.11640: syn 3985690082 ack 2104591804
3.655066 192.168.252.187.11640 -> 192.168.252.133.636: ack 3985690083
3.655524 192.168.252.187.11640 -> 192.168.252.133.636: psh 2104591804 ack 3985690083
3.656473 192.168.252.133.636 -> 192.168.252.187.11640: 3985690083 ack 2104592128

 

Artículos relacionados  Se ha solicitado un servicio proxy incorrecto

¿Te ha resultado útil??

1 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *