Включить ldaps на нескольких контроллерах домена AD

Question

Включить ldaps на нескольких контроллерах домена AD

Моя цель - включить аутентификацию AD на ovirt4. Это требует ldaps на моем AD. Я нашел много инструкций о том, как включить ldap поверх ssl, используя самоподписанный сертификат (например, https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-third-party-certification-authority), но все они описывают один случай контроллера домена. Как мне справиться с ситуацией с двумя контроллерами домена? Должен ли я создавать сертификаты на каждой машине или, может быть, разумно создать групповой сертификат?

1

ssl active-directory ldap domaincontroller ovirt

Источник

user4628215 16 мар '17 в 19:51

1 ответ

Решение

Другие вопросы по тегам ssl active-directory ldap domaincontroller ovirt

user7057680 16 мар '17 в 22:01 2017-03-16 22:01 · Accepted Answer · 2017-03-16 22:01

Да, вам нужно создать SSL-сертификаты на обеих машинах. Для обоих контроллеров домена требуются сертификаты SSL, потому что если вы подключаетесь к имени домена, а не к конкретному имени хоста контроллера домена, вы можете получить циклический переход к любому контроллеру домена, поэтому вам понадобятся сертификаты на них обоих. Избегайте использования подстановочных сертификатов, если вы не находитесь в лабораторном сценарии, в мире PKI они считаются серьезной угрозой безопасности. Кроме того, подстановочные сертификаты также не разрешены для контроллера домена, поскольку полное доменное имя контроллера домена Active Directory (например, DC01.DOMAIN.COM) должно присутствовать в сертификате SSL в одном из следующих мест:

Общее имя (CN) в поле "Тема".
DNS-запись в расширении Subject Alternative Name.

Пожалуйста, смотрите MS KB 321051 для получения дополнительной информации.