SPRÁVCE IT
Active Directory
Windows Servery
Infrastruktura
Security
ŘIDIČ
Postranní lišta
Instalace AD LDS, konfigurace synchronizace s AD DS
AD LDS umožňuje synchronizaci s AD DS a ověřování credentials proti AD DS (authentication proxy).
- AD LDS = Active Directory Lightweight Directory Services
- AD DS = Active Directory Domain Services
Video čas 00:00
Vytvoření doménové skupiny AD LDS Administrator, která bude mít admin práva na AD LDS serveru. Práva jsou přidělena během konfigurace AD LDS:
PS C:\> New-ADGroup -Name „AD LDS Administrator“ -SamAccountName ADLDS_admin -GroupCategory Security -GroupScope DomainLocal -DisplayName „AD LDS Administrator“ -Description „Members of this group are AD LDS Administrators“
PS C:\> Add-ADGroupMember adlds_admin -Members administrator
PS C:\> Get-ADGroupMember adlds_admin
Instalace AD LDS role pomocí PowerShell:
PS C:\> Install-WindowsFeature -Name adlds -IncludeAllSubFeature -IncludeManagementTools
Video čas 02:50
Vygenerování self-signed certifikátu, který bude použit pro SSL připojení k AD LDS serveru:
PS C:\> New-SelfSignedCertificate -KeyLength 2048 -KeyAlgorithm RSA -DnsName „*.lab.ad“ -CertStoreLocation „cert:\LocalMachine\My“ -KeyExportPolicy Exportable -NotAfter (Get-Date).AddMonths(120)
Video čas 04:00
Konfigurace AD LDS:
Vytvoření první instance a application directory partition. Jméno partition je ve formátu DistinguishedName a mělo by být stejné jako DistinguishedName AD domény, např. DC=domain,DC=tld. Pozor, wizard navrhuje jméno CN= které pokud použijeme, tak AD LDS nevytvoří vnořené OUs.
Během průvodce importujeme LDIF soubory:
- MS-AdamSyncMetadata.LDF - Required for ADAMSync operation
- MS-InetOrgPerson.LDF - User and related classes
- MS-User.LDF - AD LDS user class and related classes
- MS-UserProxyFull.LDF - authentication proxy
Video čas 00:00
Zkopírovat AD schéma do AD LDS. Pro vygenerování LDIF souboru je možné použít aplikaci ADSchemaAnalyzer. Všechna nastavení je nutné dodržet.
Video čas 03:50
Upravit soubor MS-AdamSyncConf.xml, který obsahuje konfiguraci synchronizace.
Jako <base-dn> je výhodné použít OU v AD doméně, které obsahuje účty k synchronizaci, tím se nebudou synchronizovat taky nepotřebné účty. Část user-proxy aktivuje authentication proxy. Authentication proxy vyžaduje zahrnutí atributu objectSid.
Následující text zrcadlí originální .XML soubor s úpravami pro snazší vložení.
MS-AdamSyncConf.xml
<security-mode>object</security-mode>
<source-ad-name>lab.ad</source-ad-name>
<source-ad-partition>dc=lab,dc=ad</source-ad-partition>
<source-ad-account></source-ad-account>
<account-domain></account-domain>
<target-dn>dc=lab,dc=ad</target-dn>
<query>
<base-dn>OU=AD LDS Users,DC=lab,DC=ad</base-dn>
<object-filter>(objectCategory=user)</object-filter>
<attributes>
<exclude></exclude>
<include>objectSid</include>
</attributes>
</query>
<user-proxy>
<source-object-class>user</source-object-class>
<target-object-class>userProxyFull</target-object-class>
</user-proxy>
Instalovat vytvořený .XML soubor do AD LDS
PS C:\> adamsync /install localhost:1389 mySync.xml
Video čas 00:00
Účtu Network Services povolit přístup k privátnímu klíči SSL certifikátu, je to protože pod tímto účtem běží AD LDS.
Otestovat připojení k AD LDS pomocí ldp.exe.
Spustit synchronizaci
PS C:\> adamsync /sync localhost:1389 „DC=lab,DC=ad“ /log adamsync.log
Výsledek: Uživatel je schopen přihlásit se doménovým heslem pomocí ldapSimpleBind (uživatelské jméno je DistinguishedName uživatele), bez authentication proxy to není možné.
ld = ldap_sslinit("lab.ad", 1636, 1);
Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3);
Error 0 = ldap_connect(hLdap, NULL);
Error 0 = ldap_get_option(hLdap,LDAP_OPT_SSL,(void*)&lv);
Host supports SSL, SSL cipher strength = 256 bits
Established connection to lab.ad.
res = ldap_simple_bind_s(ld, 'CN=user01,OU=AD LDS Users,DC=lab,DC=ad', <unavailable>); // v.3
Authenticated as: 'CN=user01,OU=AD LDS Users,DC=lab,DC=ad'.
ad_lds.txt · Poslední úprava: 2021/11/03 21:11 autor: Jiří Schuster