AD LDS umožňuje synchronizaci s AD DS a ověřování credentials proti AD DS (authentication proxy).
Video čas 00:00
Vytvoření doménové skupiny AD LDS Administrator
, která bude mít admin práva na AD LDS serveru. Práva jsou přidělena během konfigurace AD LDS:
Instalace AD LDS role pomocí PowerShell:
Video čas 02:50
Vygenerování self-signed certifikátu, který bude použit pro SSL připojení k AD LDS serveru:
Video čas 04:00
Konfigurace AD LDS:
Vytvoření první instance a application directory partition. Jméno partition je ve formátu DistinguishedName a mělo by být stejné jako DistinguishedName AD domény, např. DC=domain,DC=tld. Pozor, wizard navrhuje jméno CN=
které pokud použijeme, tak AD LDS nevytvoří vnořené OUs.
Během průvodce importujeme LDIF soubory:
Video čas 00:00
Zkopírovat AD schéma do AD LDS. Pro vygenerování LDIF souboru je možné použít aplikaci ADSchemaAnalyzer
. Všechna nastavení je nutné dodržet.
Video čas 03:50
Upravit soubor MS-AdamSyncConf.xml
, který obsahuje konfiguraci synchronizace.
Jako <base-dn>
je výhodné použít OU v AD doméně, které obsahuje účty k synchronizaci, tím se nebudou synchronizovat taky nepotřebné účty. Část user-proxy
aktivuje authentication proxy. Authentication proxy vyžaduje zahrnutí atributu objectSid
.
Následující text zrcadlí originální .XML soubor s úpravami pro snazší vložení.
MS-AdamSyncConf.xml
<security-mode>object</security-mode> <source-ad-name>lab.ad</source-ad-name> <source-ad-partition>dc=lab,dc=ad</source-ad-partition> <source-ad-account></source-ad-account> <account-domain></account-domain> <target-dn>dc=lab,dc=ad</target-dn> <query> <base-dn>OU=AD LDS Users,DC=lab,DC=ad</base-dn> <object-filter>(objectCategory=user)</object-filter> <attributes> <exclude></exclude> <include>objectSid</include> </attributes> </query> <user-proxy> <source-object-class>user</source-object-class> <target-object-class>userProxyFull</target-object-class> </user-proxy>
Instalovat vytvořený .XML soubor do AD LDS
Video čas 00:00
Účtu Network Services
povolit přístup k privátnímu klíči SSL certifikátu, je to protože pod tímto účtem běží AD LDS.
Otestovat připojení k AD LDS pomocí ldp.exe.
Spustit synchronizaci
Výsledek: Uživatel je schopen přihlásit se doménovým heslem pomocí ldapSimpleBind
(uživatelské jméno je DistinguishedName uživatele), bez authentication proxy to není možné.
ld = ldap_sslinit("lab.ad", 1636, 1); Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3); Error 0 = ldap_connect(hLdap, NULL); Error 0 = ldap_get_option(hLdap,LDAP_OPT_SSL,(void*)&lv); Host supports SSL, SSL cipher strength = 256 bits Established connection to lab.ad. res = ldap_simple_bind_s(ld, 'CN=user01,OU=AD LDS Users,DC=lab,DC=ad', <unavailable>); // v.3 Authenticated as: 'CN=user01,OU=AD LDS Users,DC=lab,DC=ad'.