我正在努力寻找关于如何configurationCentOS 6.8机器以使用LDAPS查询在Windows 2012 R2域控制器上运行的Active Directory的简单说明。
我已经将Linux客户端join到域中,并将域控制器configuration为证书颁发机构。 从DC我可以使用LDP并连接到端口636本地主机。所以我相信DC应该支持LDAPS在这一点上。
在客户端,我使用以下命令生成证书:openssl req -nodes -newkey rsa:2048 -keyout domain.key -out domain.csr
所以它生成了这两个文件。 根据我的理解,我需要从客户端向DC发送请求,以便向CA注册客户端。 我不知道如何做到这一点。 我相信,一旦我完成了这一点,我应该能够使用ldapsearch从客户端查询活动目录。
如此有效,如何将客户端configuration为使用可信证书与DC进行通信?
所以我终于能够弄清楚如何做到这一点。
使这项工作的第一个任务是将域控制器configuration为证书颁发机构。 为此,我使用了以下video: https : //www.youtube.com/watch?v = JFPa_uY8NhY
在我能够通过端口636连接到AD之后,我必须在CentOS机器上configurationopenldap来使用那个端口。 我想如果我能得到ldapsearch在端口636上查询AD,那么最后一步就是让tac_plus做同样的事情。 要configurationopenldap,我只需要编辑/etc/openldap/ldap.conf文件。
我修改了三个领域 BASE,URI,并添加行"TLS_REQCERT allow" 。
BASE领域是正确的重要。 它必须是适当的格式,并指向您的用户帐户在AD中find的位置。 我的是: "CN=users, DC=ent, DC=local" 。
URI字段对于正确获取也很重要。 我使用完全合格的域名作为服务器和端口号。 结果是: "ldaps://dc1-ent.ent.local:636" 。
"TLS_REQCERT allow"行允许CentOS机器从域控制器请求证书作为与服务器build立会话的过程的一部分。 这与SSH在与远程主机build立SSH会话时实现密钥交换algorithm的方式类似。
然后我使用下面的ldapsearch命令来validation它的工作原理:
ldapsearch -D "[email protected]" -W -p 636 -h ldaps://dc1-ent.ent.local -b "CN=users, DC=ent, DC=local" -s Sub -x -ZZ "(objectclass=*)" -d1
上面的命令中的-d1选项允许详细的debugging输出,所以我可以看到用于encryption会话的服务器公钥的交换。
所有的工作从那里出来。 我能够使用wireshark捕获stream量,并确认在authentication时build立了encryption的TLS会话。 我相信这种使用AD进行身份validation的方法称为PEAP。 我没有打扰到EAP-TLS或EAP-TTLS的工作。