Product Documentation

Konfigurieren von LDAPS

Jul 06, 2017

Mit sicherem LDAP (LDAPS) können Sie das Secure Lightweight Directory Access Protocol für die mit Active Directory verwalteten Domänen aktivieren und die Kommunikation über SSL/TLS (Secure Sockets Layer/Transport Layer Security) ermöglichen.

Standardmäßig wird die LDAP-Kommunikation zwischen Client- und Serveranwendungen nicht verschlüsselt. LDAP mit SSL/TLS (LDAPS) ermöglicht den Schutz des Inhalts von LDAP-Abfragen zwischen Linux VDA- und LDAP-Servern.

Die folgenden Linux VDA-Komponenten benötigen LDAPS:

  • Brokeragent: Linux VDA-Registrierung beim DDC
  • Richtliniendienst: Richtlinienbewertung
Die Konfiguration von LDAPS umfasst Folgendes:
  • Aktivieren von LDAPS auf dem Active Directory (AD)-/LDAP-Server
  • Exportieren der Stamm-Zertifizierungsstelle zur Clientverwendung
  • Aktivieren/Deaktivieren von LDAPS auf dem Linux VDA
  • Konfigurieren von LDAPS für Drittanbieter-Plattformen
  • Konfigurieren von SSSD
  • Konfigurieren von Winbind
  • Konfigurieren von Centrify
  • Konfigurieren von Quest

Aktivieren von LDAPS auf dem AD-/LDAP-Server

Sie können LDAP über SSL (LDAPS) aktivieren, indem Sie ein ordnungsgemäß formatiertes Zertifikat von einer Microsoft Zertifizierungsstelle (ZS) oder einer anderen Zertifizierungsstelle installieren.    

Tipp

LDAP über SSL/TLS (LDAPS) wird automatisch aktiviert, wenn Sie eine unternehmenseigene Stammzertifizierungsstelle auf einem Domänencontroller installieren.

Weitere Informationen zum Installieren des Zertifikats und Verifizieren der LDAPS-Verbindung finden Sie unter How to enable LDAP over SSL with a third-party certification authority auf der Supportwebsite von Microsoft.

Wenn Sie eine Zertifikatauthentifizierungshierachie mit mehreren Ebenen (zwei oder drei Ebenen) haben, verfügen Sie nicht automatisch über das geeignete Zertifikat für die LDAPS-Authentifizierung auf dem Domänencontroller.

Informationen zum Aktivieren von LDAPS für Domänencontroller über eine Zertifikatauthentifizierungshierachie mit mehreren Ebenen finden Sie im Artikel LDAP over SSL (LDAPS) Certificate auf der Microsoft TechNet-Site.

Aktivieren der Stammzertifizierungsstelle für Clients

Der Client muss ein Zertifikat einer Zertifizierungsstelle verwenden, dem der LDAP-Server vertraut. Importieren Sie das Stammzertifizierungsstellenzertifikat in den vertrauenswürdigen Schlüsselspeicher, um die LDAPS-Authentifizierung für den Client zu aktivieren.

Weitere Informationen zum Exportieren der Stammzertifizierungsstelle finden Sie unter How to export Root Certification Authority Certificate auf der Supportwebsite von Microsoft.

Aktivieren oder Deaktivieren von LDAPS auf dem Linux VDA

Zum Aktivieren oder Deaktivieren von LDAPS für den Linux VDA führen Sie das folgende Skript aus (Sie müssen als Administrator angemeldet sein):

Die Syntax für diesen Befehl enthält Folgendes:

  • Aktivieren von LDAP über SSL/TLS mit dem bereitgestellten Stammzertifizierungsstellenzertifikat:
command Kopieren

/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enable pathToRootCA

  • Fallback auf LDAP ohne SSL/TLS
command Kopieren

/opt/Citrix/VDA/sbin/enable_ldaps.sh -Disable

Der Java-Schlüsselspeicher für LDAPS ist in /etc/xdl/.keystore. Unter anderem sind folgende Registrierungsschlüssel betroffen:

command Kopieren

HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServers

HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServersForPolicy

HKLM\Software\Citrix\VirtualDesktopAgent\UseLDAPS

HKLM\Software\Policies\Citrix\VirtualDesktopAgent\Keystore

Konfigurieren von LDAPS für Drittanbieter-Plattformen

Neben Linux VDA-Komponenten gibt es verschiedene Softwarekomponenten von Drittanbietern, die mit Linux VDA verbunden sind und ebenfalls sicheres LDAP erfordern, z. B. SSSD, Winbind, Centrify und Quest. In den folgenden Abschnitten wird beschrieben, wie Sie sicheres LDAP mit LDAPS, STARTTLS oder SASL Sign and Seal konfigurieren.

Tipp

Nicht alle Softwarekomponenten verwenden SSL-Port 636 für sicheres LDAP und meistens kann LDAPS (LDAP über SSL auf Port 636) nicht mit STARTTLS auf Port 389 zusammen verwendet werden.

SSSD

Konfigurieren Sie den sicheren LDAP-Datenverkehr mit SSSD auf Port 636 oder 389 entsprechend den Optionen. Weitere Informationen finden Sie hier: SSSD LDAP Linux man page.

Winbind

Die Winbind LDAP-Abfrage verwendet die ADS-Methode. Winbind unterstützt die StartTLS-Methode nur auf Port 389. Die Konfigurationsdateien ldap.conf und smb.conf sind betroffen. Nehmen Sie an den Dateien die folgenden Änderungen vor:

config Kopieren

ldap.conf:

TLS_REQCERT never

 

smb.conf:

ldap ssl = start tls

ldap ssl ads = yes

client ldap sasl wrapping = plain

Alternativ kann sicheres LDAP mit SASL GSSAPI Sign and Seal konfiguriert werden, es kann jedoch nicht neben TLS/SSL existieren. Um SASL-Verschlüsselung zu verwenden, ändern Sie die Konfiguration für smb.conf:

command Kopieren

smb.conf:

ldap ssl = off

ldap ssl ads = no

client ldap sasl wrapping = seal

Centrify

Centrify unterstützt LDAPS auf Port 636 nicht. Es bietet jedoch sichere Verschlüsselung auf Port 389. Weitere Informationen finden Sie auf der Website von Centrify.

Quest

Quest Authentication Services unterstützt LDAPS auf Port 636 nicht. QAS bietet jedoch mit einer anderen Methode sichere Verschlüsselung auf Port 389. Weitere Informationen finden Sie im folgenden Artikel über Quest Authentication Services.

Problembehandlung

Folgenden Probleme können bei der Verwendung dieses Features auftreten:

Verfügbarkeit des LDAPS-Diensts

Stellen Sie sicher, dass die LDAPS-Verbindung auf dem AD/LDAP-Server verfügbar ist. Der Port ist standardmäßig 636.

Registrierung des Linux VDA schlägt fehl, wenn LDAPS aktiviert ist

Überprüfen Sie, ob der LDAP-Server und die Ports richtig konfiguriert sind. Überprüfen Sie zuerst das Stammzertifizierungsstellenzertifikat und stellen Sie sicher, dass es mit dem AD/LDAP-Server übereinstimmt.

Versehentliche fehlerhafte Registrierungsänderung

Wenn die LDAPS-bezogenen Schlüssel (oben aufgelistet) versehentlich ohne enable_ldaps.sh aktualisiert wurden, wird u. U. die Abhängigkeit der LDAPS-Komponenten unterbrochen.

LDAP-Datenverkehr wird nicht per SSL/TLS von Wireshark oder einem anderen Netzwerküberwachungstool verschlüsselt

LDAPS ist standardmäßig deaktiviert. Führen Sie /opt/Citrix/VDA/sbin/enable_ldaps.sh aus, um die Funktion zu erzwingen.

Kein LDAPS-Datenverkehr von Wireshark oder einem anderen Netzwerküberwachungstool

Bei der Linux VDA-Registrierung und Gruppenrichtlinienbewertung erfolgt LDAP/LDAPS-Datenverkehr.

LDAPS-Verfügbarkeit konnte durch Ausführen von "ldp connect" auf dem AD-Server nicht verifiziert werden

Verwenden Sie den AD FQDN statt der IP-Adresse.

Stammzertifizierungsstellenzertifikat konnte nicht durch Ausführen des Skripts /opt/Citrix/VDA/sbin/enable_ldaps.sh importiert werden

Geben Sie den vollständigen Pfad des Zertifizierungsstellenzertifikats an und prüfen Sie, ob das Stammzertifizierungsstellenzertifikat der richtige Typ ist. Es sollte mit den meisten unterstützten Java Keytool-Typen funktionieren. Wenn es nicht in der Liste der unterstützten Typen enthalten ist, können Sie es konvertieren. Citrix empfiehlt das mit base64 verschlüsselte PEM-Format, wenn ein Problem mit dem Zertifikatformat auftritt.

Stammzertifizierungsstellenzertifikat wird mit Keytool -list nicht angezeigt

Wenn Sie LDAPS durch Ausführen von /opt/Citrix/VDA/sbin/enable_ldaps.sh aktivieren, wird das Zertifikat nach /etc/xdl/.keystore importiert und ein Kennwort wird zum Schutz des Schlüsselspeichers eingerichtet. Wenn Sie das Kennwort vergessen, können Sie das Skript erneut ausführen und einen neuen Schlüsselspeicher erstellen.