Descripción
Este artículo describe cómo configurar LDAP sobre SSL.
El tráfico LDAP está protegido por SSL.
Solución
En este escenario, se utiliza un servidor Microsoft Windows Active Directory (AD) como entidad emisora de certificados (CA).
Los servicios de certificados se han agregado como un rol y el certificado de CA ya está disponible para exportar.
1) Servidor de la autoridad de certificación de Microsoft Windows:
en el servidor AD, ejecute MMC (Microsoft Management Console).
Vaya a Archivo y seleccione ‘Agregar o quitar complemento’, seleccione ‘Certificados’ y luego seleccione ‘Agregar’:
Expanda el árbol y vaya a Personal -> Certificados .
Seleccione el certificado, vaya a Todas las tareas y seleccione ‘Exportar’:
Vaya a Sistema -> Certificados > seleccione ‘Importar certificado CA’ y cargue el archivo:
-Si no se selecciona ningún certificado, FortiGate aceptará cualquier cosa del servidor LDAPS.
– Si se selecciona un certificado, FortiGate solo aceptará certificados firmados por ese certificado de CA.
verifique la comunicación entre FortiGate y el servidor AD mediante la captura y el rastreador de paquetes.
Después del apretón de manos de 3 vías, puede ver la transacción entre el cliente y el servidor.
‘Hola Exchange’ -> Cliente Hola -> Servidor Hola -> Servidor Hola Listo.
# diagnose sniffer packet any «host 192.168.252.133 and port 636»
interfaces=[any] filters=[host 192.168.252.133 and port 636] 3.653907 192.168.252.187.11640 -> 192.168.252.133.636: syn 2104591803
3.655022 192.168.252.133.636 -> 192.168.252.187.11640: syn 3985690082 ack 2104591804
3.655066 192.168.252.187.11640 -> 192.168.252.133.636: ack 3985690083
3.655524 192.168.252.187.11640 -> 192.168.252.133.636: psh 2104591804 ack 3985690083
3.656473 192.168.252.133.636 -> 192.168.252.187.11640: 3985690083 ack 2104592128
¿Te ha resultado útil??
1 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!