LDAPS konfigurieren
Sicheres LDAP (LDAPS) ermöglicht Ihnen die Aktivierung des Secure Lightweight Directory Access Protocol für Ihre von Active Directory verwalteten Domänen, um die Kommunikation über SSL (Secure Socket Layer)/TLS (Transport Layer Security) bereitzustellen.
- Standardmäßig ist die LDAP-Kommunikation zwischen Client- und Serveranwendungen nicht verschlüsselt. LDAP über SSL/TLS (LDAPS) ermöglicht Ihnen den Schutz des LDAP-Abfrageinhalts zwischen dem Linux VDA und den LDAP-Servern.
Die folgenden Linux VDA-Komponenten weisen Abhängigkeiten von LDAPS auf:
- Broker-Agent: Linux VDA-Registrierung bei einem Delivery Controller™
-
Richtliniendienst: Richtlinienauswertung
-
Die Konfiguration von LDAPS umfasst:
- LDAPS auf dem Active Directory (AD)/LDAP-Server aktivieren
- Stammzertifizierungsstelle (Root CA) für die Clientnutzung exportieren
- LDAPS auf dem Linux VDA aktivieren/deaktivieren
- LDAPS für Drittanbieterplattformen konfigurieren
- SSSD konfigurieren
- Winbind konfigurieren
- Centrify konfigurieren
- Quest konfigurieren
LDAPS auf dem AD/LDAP-Server aktivieren
Sie können LDAP über SSL (LDAPS) aktivieren, indem Sie ein ordnungsgemäß formatiertes Zertifikat entweder von einer Microsoft-Zertifizierungsstelle (CA) oder einer Nicht-Microsoft-CA installieren.
Tipp:
LDAP über SSL/TLS (LDAPS) wird automatisch aktiviert, wenn Sie eine Enterprise-Stammzertifizierungsstelle (Enterprise Root CA) auf einem Domänencontroller installieren.
Weitere Informationen zur Installation des Zertifikats und zur Überprüfung der LDAPS-Verbindung finden Sie unter How to enable LDAP over SSL with a third-party certification authority auf der Microsoft Support-Website.
Wenn Sie eine mehrstufige (z. B. zwei- oder dreistufige) Zertifizierungsstellenhierarchie haben, verfügen Sie nicht automatisch über das entsprechende Zertifikat für die LDAPS-Authentifizierung auf dem Domänencontroller.
Informationen zum Aktivieren von LDAPS für Domänencontroller, die eine mehrstufige Zertifizierungsstellenhierarchie verwenden, finden Sie im Artikel LDAP over SSL (LDAPS) Certificate auf der Microsoft TechNet-Website.
Stammzertifizierungsstelle für die Clientnutzung aktivieren
Der Client muss ein Zertifikat von einer Zertifizierungsstelle (CA) verwenden, der der LDAP-Server vertraut. Um die LDAPS-Authentifizierung für den Client zu aktivieren, importieren Sie das Stammzertifizierungsstellenzertifikat (Root CA-Zertifikat) in einen vertrauenswürdigen Keystore.
- Weitere Informationen zum Exportieren der Stammzertifizierungsstelle (Root CA) finden Sie unter How to export Root Certification Authority Certificate auf der Microsoft Support-Website.
LDAPS auf dem Linux VDA aktivieren oder deaktivieren
Um LDAPS auf dem Linux VDA zu aktivieren oder zu deaktivieren, führen Sie das folgende Skript aus (während Sie als Administrator angemeldet sind):
Die Syntax für diesen Befehl umfasst Folgendes:
-
LDAP über SSL/TLS mit dem bereitgestellten Stammzertifizierungsstellenzertifikat (Root CA-Zertifikat) aktivieren:
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enable pathToRootCA <!--NeedCopy--> -
LDAP über SSL/TLS mit Kanalbindung aktivieren:
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enablecb pathToRootCA <!--NeedCopy-->Hinweis:
Das Stammzertifizierungsstellenzertifikat (Root CA-Zertifikat) für die Kanalbindung muss im PEM-Format vorliegen. Bevor Sie die Kanalbindung aktivieren, stellen Sie sicher, dass Sie eine Python3-virtuelle Umgebung erstellen. Weitere Informationen finden Sie unter Create a Python3 virtual environment.
-
Auf LDAP ohne SSL/TLS zurückgreifen
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Disable
<!--NeedCopy-->
Der für LDAPS dedizierte Java-Keystore befindet sich unter /etc/xdl/.keystore. Betroffene Registrierungsschlüssel sind:
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServers
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServersForPolicy
HKLM\Software\Citrix\VirtualDesktopAgent\UseLDAPS
HKLM\Software\Policies\Citrix\VirtualDesktopAgent\Keystore
HKLM\Software\Citrix\VirtualDesktopAgent\EnableChannelBinding
<!--NeedCopy-->
-
LDAPS für Drittanbieterplattformen konfigurieren
-
Neben den Linux VDA-Komponenten benötigen möglicherweise auch mehrere Drittanbieter-Softwarekomponenten, die dem VDA entsprechen, sicheres LDAP, wie SSSD, Winbind, Centrify und Quest. Die folgenden Abschnitte beschreiben, wie sicheres LDAP mit LDAPS, STARTTLS oder SASL Sign and Seal konfiguriert wird.
-
Tipp:
-
Nicht alle dieser Softwarekomponenten bevorzugen die Verwendung von SSL-Port 636, um sicheres LDAP zu gewährleisten. Und meistens kann LDAPS (LDAP über SSL auf Port 636) nicht mit STARTTLS auf Port 389 koexistieren.
-
SSSD
-
Konfigurieren Sie den sicheren SSSD-LDAP-Verkehr auf Port 636 oder Port 389 gemäß den Optionen. Weitere Informationen finden Sie auf der SSSD LDAP Linux Manpage.
-
Winbind
Die Winbind-LDAP-Abfrage verwendet die ADS-Methode. Winbind unterstützt nur die StartTLS-Methode auf Port 389. Betroffene Konfigurationsdateien sind ldap.conf unter /etc/openldap/ldap.conf und smb.conf unter /etc/samba/smb.conf. Ändern Sie die Dateien wie folgt:
ldap.conf:
TLS_REQCERT never
smb.conf:
ldap ssl = start tls
ldap ssl ads = yes
client ldap sasl wrapping = plain
<!--NeedCopy-->
Alternativ kann sicheres LDAP über SASL GSSAPI Sign and Seal konfiguriert werden, es kann jedoch nicht mit TLS/SSL koexistieren. Um die SASL-Verschlüsselung zu verwenden, ändern Sie die smb.conf-Konfiguration:
smb.conf:
ldap ssl = off
ldap ssl ads = no
client ldap sasl wrapping = seal
<!--NeedCopy-->
Centrify
Centrify unterstützt LDAPS auf Port 636 nicht. Es bietet jedoch eine sichere Verschlüsselung auf Port 389. Weitere Informationen finden Sie auf der Centrify-Website.
Quest
Quest Authentication Service unterstützt LDAPS auf Port 636 nicht, bietet jedoch eine sichere Verschlüsselung auf Port 389 unter Verwendung einer anderen Methode.
Problembehandlung
Die folgenden Probleme können bei der Verwendung dieser Funktion auftreten:
-
Verfügbarkeit des LDAPS-Dienstes
Überprüfen Sie, ob die LDAPS-Verbindung auf dem AD/LDAP-Server verfügbar ist. Der Port ist standardmäßig 636.
-
Linux VDA-Registrierung fehlgeschlagen, wenn LDAPS aktiviert ist
Überprüfen Sie, ob der LDAP-Server und die Ports korrekt konfiguriert sind. Überprüfen Sie zuerst das Stammzertifizierungsstellenzertifikat (Root CA-Zertifikat) und stellen Sie sicher, dass es mit dem AD/LDAP-Server übereinstimmt.
-
Versehentliche falsche Registrierungsänderung
Wenn die LDAPS-bezogenen Schlüssel versehentlich ohne Verwendung von enable_ldaps.sh aktualisiert wurden, kann dies die Abhängigkeit von LDAPS-Komponenten unterbrechen.
-
LDAP-Verkehr wird nicht über SSL/TLS von Wireshark oder anderen Netzwerküberwachungstools verschlüsselt
Standardmäßig ist LDAPS deaktiviert. Führen Sie /opt/Citrix/VDA/sbin/enable_ldaps.sh aus, um es zu erzwingen.
-
Kein LDAPS-Verkehr von Wireshark oder anderen Netzwerküberwachungstools
LDAP-/LDAPS-Verkehr tritt auf, wenn die Linux VDA-Registrierung und die Gruppenrichtlinienauswertung erfolgen.
-
Fehler beim Überprüfen der LDAPS-Verfügbarkeit durch Ausführen von ldp connect auf dem AD-Server
Verwenden Sie den AD-FQDN anstelle der IP-Adresse.
-
Fehler beim Importieren des Stammzertifizierungsstellenzertifikats (Root CA-Zertifikats) durch Ausführen des Skripts /opt/Citrix/VDA/sbin/enable_ldaps.sh
Geben Sie den vollständigen Pfad des CA-Zertifikats an und überprüfen Sie, ob das Stammzertifizierungsstellenzertifikat (Root CA-Zertifikat) den richtigen Typ hat. Es sollte mit den meisten unterstützten Java Keytool-Typen kompatibel sein. Wenn es nicht in der Supportliste aufgeführt ist, können Sie den Typ zuerst konvertieren. Wir empfehlen das base64-kodierte PEM-Format, wenn Sie ein Problem mit dem Zertifikatsformat haben.
-
Fehler beim Anzeigen des Stammzertifizierungsstellenzertifikats (Root CA-Zertifikats) mit Keytool -list
Wenn Sie LDAPS durch Ausführen von
/opt/Citrix/VDA/sbin/enable_ldaps.shaktivieren, wird das Zertifikat nach /etc/xdl/.keystore importiert und das Kennwort zum Schutz des Keystores festgelegt. Wenn Sie das Kennwort vergessen, können Sie das Skript erneut ausführen, um einen Keystore zu erstellen.