Postranní lišta

SPRÁVCE IT

Active Directory

Windows Servery

Infrastruktura

Security



ŘIDIČ

Technika, IVECO

Instalace AD LDS, konfigurace synchronizace s AD DS


AD LDS umožňuje synchronizaci s AD DS a ověřování credentials proti AD DS (authentication proxy).

  • AD LDS = Active Directory Lightweight Directory Services
  • AD DS = Active Directory Domain Services


Video čas 00:00

Vytvoření doménové skupiny AD LDS Administrator, která bude mít admin práva na AD LDS serveru. Práva jsou přidělena během konfigurace AD LDS:

PS C:\> New-ADGroup -Name „AD LDS Administrator“ -SamAccountName ADLDS_admin -GroupCategory Security -GroupScope DomainLocal -DisplayName „AD LDS Administrator“ -Description „Members of this group are AD LDS Administrators“ PS C:\> Add-ADGroupMember adlds_admin -Members administrator PS C:\> Get-ADGroupMember adlds_admin

Instalace AD LDS role pomocí PowerShell:

PS C:\> Install-WindowsFeature -Name adlds -IncludeAllSubFeature -IncludeManagementTools

Video čas 02:50

Vygenerování self-signed certifikátu, který bude použit pro SSL připojení k AD LDS serveru:

PS C:\> New-SelfSignedCertificate -KeyLength 2048 -KeyAlgorithm RSA -DnsName „*.lab.ad“ -CertStoreLocation „cert:\LocalMachine\My“ -KeyExportPolicy Exportable -NotAfter (Get-Date).AddMonths(120)

Video čas 04:00

Konfigurace AD LDS:

Vytvoření první instance a application directory partition. Jméno partition je ve formátu DistinguishedName a mělo by být stejné jako DistinguishedName AD domény, např. DC=domain,DC=tld. Pozor, wizard navrhuje jméno CN= které pokud použijeme, tak AD LDS nevytvoří vnořené OUs.

Během průvodce importujeme LDIF soubory:

  • MS-AdamSyncMetadata.LDF - Required for ADAMSync operation
  • MS-InetOrgPerson.LDF - User and related classes
  • MS-User.LDF - AD LDS user class and related classes
  • MS-UserProxyFull.LDF - authentication proxy



Video čas 00:00

Zkopírovat AD schéma do AD LDS. Pro vygenerování LDIF souboru je možné použít aplikaci ADSchemaAnalyzer. Všechna nastavení je nutné dodržet.

Video čas 03:50

Upravit soubor MS-AdamSyncConf.xml, který obsahuje konfiguraci synchronizace.

Jako <base-dn> je výhodné použít OU v AD doméně, které obsahuje účty k synchronizaci, tím se nebudou synchronizovat taky nepotřebné účty. Část user-proxy aktivuje authentication proxy. Authentication proxy vyžaduje zahrnutí atributu objectSid.

Následující text zrcadlí originální .XML soubor s úpravami pro snazší vložení.

MS-AdamSyncConf.xml

  <security-mode>object</security-mode>	        
  <source-ad-name>lab.ad</source-ad-name>		
  <source-ad-partition>dc=lab,dc=ad</source-ad-partition>
  <source-ad-account></source-ad-account>                
  <account-domain></account-domain>
  <target-dn>dc=lab,dc=ad</target-dn>		
  <query>			
     <base-dn>OU=AD LDS Users,DC=lab,DC=ad</base-dn>
     <object-filter>(objectCategory=user)</object-filter>			
     <attributes>
        <exclude></exclude>
        <include>objectSid</include>
     </attributes>		
  </query>	
  <user-proxy>
     <source-object-class>user</source-object-class>
     <target-object-class>userProxyFull</target-object-class>
  </user-proxy>

Instalovat vytvořený .XML soubor do AD LDS

PS C:\> adamsync /install localhost:1389 mySync.xml




Video čas 00:00

Účtu Network Services povolit přístup k privátnímu klíči SSL certifikátu, je to protože pod tímto účtem běží AD LDS.

Otestovat připojení k AD LDS pomocí ldp.exe.

Spustit synchronizaci

PS C:\> adamsync /sync localhost:1389 „DC=lab,DC=ad“ /log adamsync.log

Výsledek: Uživatel je schopen přihlásit se doménovým heslem pomocí ldapSimpleBind (uživatelské jméno je DistinguishedName uživatele), bez authentication proxy to není možné.

ld = ldap_sslinit("lab.ad", 1636, 1);
Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3);
Error 0 = ldap_connect(hLdap, NULL);
Error 0 = ldap_get_option(hLdap,LDAP_OPT_SSL,(void*)&lv);
Host supports SSL, SSL cipher strength = 256 bits
Established connection to lab.ad.
res = ldap_simple_bind_s(ld, 'CN=user01,OU=AD LDS Users,DC=lab,DC=ad', <unavailable>); // v.3
Authenticated as: 'CN=user01,OU=AD LDS Users,DC=lab,DC=ad'.

Tento web používá cookies. Používáním těchto stránek souhlasíte s ukládáním cookies do vašeho počítače. Také berete na vědomí, že jste si přečetli a porozuměli našim Zásadám ochrany osobních údajů. Pokud nesouhlasíte s odchodem z webu.Více informací
ad_lds.txt · Poslední úprava: 2021/11/03 21:11 autor: Jiří Schuster

Nástroje pro stránku