Настройка LDAP с поддержкой StartTLS для Windows AD#

Введение#

Примечание

В Numa Edge не поддерживается LDAPS, поскольку данный протокол считается устаревшим и для шифрования соединения по протоколу LDAP рекомендуется использование StartTLS.

Для настройки LDAP с поддержкой TLS-шифрования на Windows Server 2019 необходимо выполнить следующие действия.

Установка необходимых компонентов и начальная настройка#

Добавление роли AD DS на локальный сервер#

Откройте оснастку Server Manager и в правом верхнем углу выберите Manage → Add Roles and Features.

В открытом окне Add Roles and Features Wizard, ознакомившись с содержимым приветственного окна, нажмите кнопку Next.

Далее, выберите тип установки Role-based or feature-based installation для добавления роли на локальный сервер.

Установите маркер для роли Active Directory Domain Services.

Следующий пункт Features изменений не требует.

В пункте AD DS будет сообщено о том, что для работы AD DS необходимо наличие локального DNS-сервера, и в случае его отсутствия будет предложено добавить роль DNS.

Следующий пункт будет содержать общую информацию об устанавливаемых компонентах. Ознакомившись с ним, нажмите Install.

После завершения установки закройте окно и в оснастке Server Manager нажмите на иконку с уведомлением. В выпадающем пункте выберите Promote this server to domain controller.

Настройка AD DS после установки#

В открывшемся окне выберите пункт Add a new forest и укажите название корневого домена. В этом примере используется значение numatest.local.

В следующем пункте необходимо указать пароль для DSRM.

Пропустив пункт DNS Options, при желании измените значение NetBIOS domain name. В этом примере используется автоматически сгенерированное значение NUMATEST.

Раздел с настройкой служебных папок также не требует изменений.

Следующий пункт Review Option отобразит общую информацию о вносимых изменениях. Нажмите Next.

Далее запустится проверочный скрипт перед добавлением настроек, и после его успешного завершения нажмите Install. После завершения установки локальный сервер будет перезагружен.

Настройка статического IP-адреса, изменение имени хоста#

1) Любым удобным способом выставить следующие настройки сети:

IP address: 192.168.122.200
Netmask: 255.255.255.0
Default Gateway: 192.168.122.1
DNS Server: 127.0.0.1

1) Изменить имя хоста на dc1.numatest.local. Для этого перейдите Control Panel → System → Advanced system settings → Computer Name → Change.

Настройка статического IP-адреса, изменение имени хоста

После изменения необходимо снова перезагрузить сервер.

Добавление пользователей в AD#

Используя оснастку Server Manager выбрать сервер AD DS и, нажав правой кнопкой мыши (далее – ПКМ) на сервер DC1, выбрать пункт Active Directory Users and Computers.

В открывшемся окне выбрать домен numatest.local и в нем каталог Users.

Примечание

Значение DN для этого каталога будет ou=People,dc=numatest,dc=local.

В этом каталоге создаются 3 пользователя:

служебный пользователь numaedge, через которого будет осуществляться подключение к LDAP-серверу. Для этого пользователя будут отредактированы права на Read Only;
тестовый пользователь test, который добавляется в netgroup с названием edge-admin, что дает ему право подключаться к Numa Edge с правами администратора;
тестовый пользователь user, который не добавляется в netgroup и, соответственно, ему запрещена авторизация на Numa Edge.

Для всех пользователей после создания необходимо вручную отредактировать атрибуты uidNumber и unixHomeDirectory. Этом можно сделать, например, включив расширенный режим просмотра в окне Active Directory Users and Computers: View → Advanced Features

Для примера рассмотрим создание пользователя numaedge:

1) Нажать ПКМ на свободное место и выбрать пункт New → User.

2) В открытом окне необходимо и достаточно заполнить только поля Last Name и User Login Name. В этом примере обоим полям присваивается значение numaedge. После ввода нажмите Next.

3) Далее установите пароль пользователя, снимите маркер с чек-бокса User must change password at next logon и установите на Password never expires.

4) Дважды нажмите ЛКМ на созданного пользователя и выберите вкладку Attribure Editor.

5) Заполните атрибуты следующим образом:

uidNumber = 10001
unixHomeDirectory = /home/numaedge

Настройка пользователя

6) После установления атрибутов, нажмите Apply и OK.

Аналогичным образом создайте пользователей test и user, указав для них свои значения атрибутов.

Создание nisNetgroup и добавление в нее пользователя Numa Edge#

В Numa Edge определены следующие соответствия для авторизованных пользователей через LDAP:

edge-admin – группа администраторов;
edge-op – группа пользователей.

Для создания объекта nisNetgroup воспользуйтесь оснасткой ADSI Editor. Для этого в Server Manager необходимо нажать ПКМ на сервер DC1 и выбрать пункт ADSI Editor.

В открытом окне выбрать ADSI Edit → Нажать ПКМ → Connect to...

В новом окне не требуется вносить изменений, поэтому нажимаем клавишу OK.

После успешного подключения раскройте выпадающий список Default naming context, выберите домен numatest.local и нажмите ПКМ на объект CN=Users. Далее выберите New → Object.

В открывшемся окне выберите тип объекта nisNetgroup.

И установите значение edge-admin для атрибута cn.

Сразу же в процессе создания, для данного объекта возможно отредактировать атрибуты. Поэтому сразу же добавим пользователя numaedge в этот объект. Для этого нажмите кнопку More Attributes.

Выберите тип атрибута nisNetgroup Triple, и укажите имя пользователя в формате (,,).

Теперь нажмите Add для добавления атрибута и OK для применения изменений.

Аналогичным образом в случае необходимости можно создать объект edge-op для подключения к Numa Edge с правами пользователя.

Добавление пользователей в созданный объект nisNetgroup#

Для редактирования атрибутов у уже созданного объекта выполните:

1	`CN = edge-admin → Properties → nisNetgroup Triple → Edit`

Добавление пользователей в созданный объект nisNetgroup

Добавление пользователя test:

Примечание

Данных настроек со стороны сервера достаточно для подключения к Windows AD через протокол LDAP для аутентификации пользователей на Numa Edge.

Добавление прав RO для служебного пользователя numaedge#

Служебный пользователь numaedge необходим для того, чтобы не использовать анонимные обращения к AD-серверу. Поскольку этот служебный пользователь необходим только для получения информации об объектах LDAP, будет хорошей идеей изменить для него права только на чтение.

Откройте свойства объекта CN= Users в оснастке ADSI Editor и выберите вкладку Security. И нажмите кнопку Add.

В открывшемся окне напишите имя пользователя numaedge. И нажмите кнопку OK.

После этого пользователю будут установлены права только на чтения. Поэтому примените изменения нажатием кнопки Apply и затем OK.

Настройка Numa Edge#

# Настройка LDAP клиента
set system ldap-server basedn 'cn=Users,dc=numatest,dc=local'
set system ldap-server dn numaedge@numatest.local
set system ldap-server host 'dc1.numatest.local'
set system ldap-server netgroupbasedn 'cn=Users,dc=numatest,dc=local'
set system ldap-server password 'Qwer1234'
set system ldap-server userbasedn 'cn=Users,dc=numatest,dc=local'
set system ldap-server tls disable

# Включение поддержки авторизации через LDAP 
set system login ldap enabled true
set system login ldap mapping ad

# DHPC-клиент в подсети 192.168.122.0/24
set interfaces ethernet eth1 address 'dhcp'

# Для копирования корневого сертификата из Windows AD CS
set service ssh address 0.0.0.0 
set service ssh cipher 'aes256-ctr'
set service ssh hmac 'hmac-sha1'
set service ssh key-exchange-algo 'diffie-hellman-group-exchange-sha256'

# Добавление DNS сервера для домена с AD
set system dns name-server 192.168.122.200 domain numatest.local

Проверка#

Для проверки попробуем залогиниться под пользователем test, используя пароль, назначенный на AD-сервере. После первого успешного логина для пользователя будет создан домашний каталог, указанный в атрибуте unixHomeDirectory.

Numa Edge 1.0
edge01 login: test
Password:
Creating directory '/home/test'.
test@edge01:~$

Включение поддержки StartTLS для LDAP#

Добавление роли Active Directory Certificate Servises#

Аналогичным образом, как и при добавлении роли AD DS, необходимо установить сервер удостоверяющего центра (AD CS). Ниже для большинства пунктов установки представлены скриншоты процесса добавления, поскольку никаких изменений вносить не требуется.

Аналогичным образом необходимо выбрать пункт Post-deployment Configuration из окна уведомлений Server Manager.

Выбирается тип удостоверяющего центра Enterprise CA. Это является обязательным условием, поскольку в случае установки Standalone CA невозможно будет отредактировать шаблоны сертификатов, что понадобится в дальнейшем.

Поcкольку этот CA единственный, он будет Root CA.

Далее в процессе установки сразу же генерируем закрытый ключ и сертификат для CA.

Генерация сертификата для AD DS#

Следующим важным этапом является генерация сертификата, который будет использоваться для установления защищенного соединения с AD DS сервером с помощью расширения StartTLS для протокола LDAP.

Для этого первоначально необходимым этапом является создание нового шаблона сертификатов, на основе которого будет сгенерирован запрос на подпись.

Для создания шаблона в оснастке Server Manager необходимо переключиться на сервер AD CS и, нажав по нему ПКМ, выбрать пункт Certification Authority.

В открывшемся окне выбрать пункт Certificate Template и, нажав ПКМ, выбрать Manage.

Теперь необходимо выбрать один из 2 шаблонов:

Domain Controller
Domain Controller Authentication

Дальнейшая настройка не будет отличаться от вашего выбора. В этом примере используется шаблон Domain Controller Authentication. Основные отличия шаблонов приведены в таблице ниже.

Выбрав необходимый шаблон, нажмите ПКМ → Duplicate Template.

В открывшемся окне переключитесь на вкладку General и установите название шаблона. Обязательно проверьте, установлен ли маркер на пункте Publish certificate in Active Directory. При его отсутствии – установите.

Следующим шагом является добавление в сертификат возможности настройки полей Subject Alternative Name. Это необходимо для корректной работы аутентификации на Numa Edge, если в параметре

1	`system ldap-server host`

указано не доменное имя сервера AD, а его IP-адрес.

Настройка данного функционала является опциональной, и при желании данный пункт можно пропустить.

Для настройки перейдите во вкладку Subject Name и установите маркер Supply in the request.

После установки откроется предупреждающее окно, в котором говорится что данный функционал небезопасен.

После создания нового шаблона его необходимо добавить в список шаблонов сертификатов, доступных для выпуска.

Генерация сертификата#

Теперь необходимо сгенерировать запрос на сертификат для нашего сервера. После генерации запроса будет автоматически подписан и выпущен соответствующий сертификат.

Для генерации воспользуйтесь Microsoft Management Console, выполнив команду mmc.

В открывшемся окне выполните: File → Add/Remove Snap-in.

Далее выберите пункт Certificates и нажмите Add.

Поставьте маркер на Computer account.

Далее уже будет автоматически выбран локальный компьютер, поэтому нажимаем Finish.

И нажимаем OK.

Теперь в хранилище сертификатов Personal запросим новый сертификат: All Tasks → Request New Certificate.

Здесь нажмите Next.

В данном пункте необходимо выбрать ранее созданный шаблон LDAPStartTLS и нажать на текст с предупреждением.

В открывшемся окне добавьте значения полей Subject name и Alternative name, как указано ниже.

При необходимости укажите дополнительную информацию о сертификате.

Теперь нажмите Apply и OK для применения изменений. Далее нажмите Enroll для выпуска сертификата.

После выпуска сертификата он будет использоваться для LDAPS и StartTLS-соединений сервером Active Directory.

Теперь необходимо экспортировать сертификат УЦ для последующей передачи на Numa Edge. Этот сертификат будет использоваться для проверки подлинности ранее сгенерированного сертификата AD-сервера, при включенном параметре.

1	`system ldap-server tls-server-auth`

Для экспорта выберите сертификат УЦ (numatest-DC1-CA-1) и нажмите ПКМ: All Tasks → Export.

Закрытый ключ не экспортируем.

Формат сертификата также не изменяем.

Укажите каталог и название файла для экспорта.

Теперь нажмите Next. После успешного экспорта необходимо передать сертификат на Numa Edge.

Для этого можно воспользоваться интегрированной утилитой scp.

Теперь импортируем полученный сертификат на Numa Edge.

Далее необходимо включить поддержку LDAPStartTLS на Numa Edge, воспользовавшись следующими командами:

admin@edge01# set system ldap-server tls enable
[edit]
admin@edge01# commit
[edit]
admin@edge01#

Примечание

При включении параметра tls, параметр tls-server-auth будет включен автоматически.

Проверка#

Как и при проверке подключения по протоколу LDAP попробуем залогиниться под пользователем test.

Numa Edge 1.0
edge01 login: test
Password:
test@edge01:~$