Configurar LDAPS
LDAP seguro (LDAPS) te permite habilitar el Protocolo ligero de acceso a directorios seguro para tus dominios administrados de Active Directory para proporcionar comunicaciones a través de SSL (Secure Socket Layer)/TLS (Transport Layer Security).
- Por defecto, las comunicaciones LDAP entre las aplicaciones cliente y servidor no están cifradas. LDAP con SSL/TLS (LDAPS) te permite proteger el contenido de las consultas LDAP entre el VDA de Linux y los servidores LDAP.
Los siguientes componentes del VDA de Linux tienen dependencias de LDAPS:
- Agente de broker: registro del VDA de Linux con un Delivery Controller™
-
Servicio de directivas: evaluación de directivas
-
La configuración de LDAPS implica:
- Habilitar LDAPS en el servidor de Active Directory (AD)/LDAP
- Exportar la CA raíz para uso del cliente
- Habilitar/deshabilitar LDAPS en el VDA de Linux
- Configurar LDAPS para plataformas de terceros
- Configurar SSSD
- Configurar Winbind
- Configurar Centrify
- Configurar Quest
Habilitar LDAPS en el servidor de AD/LDAP
Puedes habilitar LDAP a través de SSL (LDAPS) instalando un certificado con el formato adecuado de una autoridad de certificación (CA) de Microsoft o de una CA que no sea de Microsoft.
Sugerencia:
LDAP a través de SSL/TLS (LDAPS) se habilita automáticamente cuando instalas una CA raíz empresarial en un controlador de dominio.
Para obtener más información sobre cómo instalar el certificado y verificar la conexión LDAPS, consulta Cómo habilitar LDAP a través de SSL con una autoridad de certificación de terceros en el sitio de soporte de Microsoft.
Cuando tienes una jerarquía de autoridad de certificación de varios niveles (como de dos o tres niveles), no dispones automáticamente del certificado adecuado para la autenticación LDAPS en el controlador de dominio.
Para obtener información sobre cómo habilitar LDAPS para controladores de dominio mediante una jerarquía de autoridad de certificación de varios niveles, consulta el artículo Certificado LDAP a través de SSL (LDAPS) en el sitio de Microsoft TechNet.
Habilitar la autoridad de certificación raíz para uso del cliente
El cliente debe usar un certificado de una CA en la que confíe el servidor LDAP. Para habilitar la autenticación LDAPS para el cliente, importa el certificado de CA raíz a un almacén de claves de confianza.
- Para obtener más información sobre cómo exportar la CA raíz, consulta Cómo exportar el certificado de la autoridad de certificación raíz en el sitio web de soporte de Microsoft.
Habilitar o deshabilitar LDAPS en el VDA de Linux
Para habilitar o deshabilitar LDAPS en el VDA de Linux, ejecuta el siguiente script (mientras inicias sesión como administrador):
La sintaxis de este comando incluye lo siguiente:
-
Habilitar LDAP a través de SSL/TLS con el certificado de CA raíz proporcionado:
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enable pathToRootCA <!--NeedCopy--> -
Habilitar LDAP a través de SSL/TLS con enlace de canal:
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enablecb pathToRootCA <!--NeedCopy-->Nota:
El certificado de CA raíz para el enlace de canal debe estar en formato PEM. Antes de habilitar el enlace de canal, asegúrate de crear un entorno virtual de Python3. Para obtener más información, consulta Crear un entorno virtual de Python3.
-
Volver a LDAP sin SSL/TLS
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Disable
<!--NeedCopy-->
El almacén de claves de Java dedicado a LDAPS se encuentra en /etc/xdl/.keystore. Las claves de registro afectadas incluyen:
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServers
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServersForPolicy
HKLM\Software\Citrix\VirtualDesktopAgent\UseLDAPS
HKLM\Software\Policies\Citrix\VirtualDesktopAgent\Keystore
HKLM\Software\Citrix\VirtualDesktopAgent\EnableChannelBinding
<!--NeedCopy-->
-
Configurar LDAPS para plataformas de terceros
-
Además de los componentes del VDA de Linux, varios componentes de software de terceros que se adhieren al VDA también podrían requerir LDAP seguro, como SSSD, Winbind, Centrify y Quest. Las siguientes secciones describen cómo configurar LDAP seguro con LDAPS, STARTTLS o SASL sign and seal.
-
Sugerencia:
-
No todos estos componentes de software prefieren usar el puerto SSL 636 para garantizar un LDAP seguro. Y la mayoría de las veces, LDAPS (LDAP a través de SSL en el puerto 636) no puede coexistir con STARTTLS en el puerto 389.
-
SSSD
-
Configura el tráfico LDAP seguro de SSSD en el puerto 636 o en el puerto 389 según las opciones. Para obtener más información, consulta la página man de SSSD LDAP para Linux.
-
Winbind
La consulta LDAP de Winbind usa el método ADS. Winbind solo admite el método StartTLS en el puerto 389. Los archivos de configuración afectados son ldap.conf en /etc/openldap/ldap.conf y smb.conf en /etc/samba/smb.conf. Cambia los archivos de la siguiente manera:
ldap.conf:
TLS_REQCERT never
smb.conf:
ldap ssl = start tls
ldap ssl ads = yes
client ldap sasl wrapping = plain
<!--NeedCopy-->
Alternativamente, el LDAP seguro se puede configurar mediante SASL GSSAPI sign and seal, pero no puede coexistir con TLS/SSL. Para usar el cifrado SASL, cambia la configuración de smb.conf:
smb.conf:
ldap ssl = off
ldap ssl ads = no
client ldap sasl wrapping = seal
<!--NeedCopy-->
Centrify
Centrify no admite LDAPS en el puerto 636. Sin embargo, sí proporciona cifrado seguro en el puerto 389. Para obtener más información, consulta el sitio de Centrify.
Quest
Quest Authentication Service no admite LDAPS en el puerto 636, pero proporciona cifrado seguro en el puerto 389 mediante un método diferente.
Solución de problemas
Los siguientes problemas pueden surgir al usar esta función:
-
Disponibilidad del servicio LDAPS
Verifica que la conexión LDAPS esté disponible en el servidor de AD/LDAP. El puerto es el 636 por defecto.
-
Error en el registro del VDA de Linux cuando LDAPS está habilitado
Verifica que el servidor LDAP y los puertos estén configurados correctamente. Comprueba primero el certificado de CA raíz y asegúrate de que coincida con el servidor de AD/LDAP.
-
Cambio de registro incorrecto por accidente
Si las claves relacionadas con LDAPS se actualizaron por accidente sin usar enable_ldaps.sh, podría romperse la dependencia de los componentes LDAPS.
-
El tráfico LDAP no está cifrado a través de SSL/TLS desde Wireshark o cualquier otra herramienta de supervisión de red
Por defecto, LDAPS está deshabilitado. Ejecuta /opt/Citrix/VDA/sbin/enable_ldaps.sh para forzarlo.
-
No hay tráfico LDAPS desde Wireshark o cualquier otra herramienta de supervisión de red
El tráfico LDAP/LDAPS se produce cuando se realizan el registro del VDA de Linux y la evaluación de directivas de grupo.
-
Error al verificar la disponibilidad de LDAPS ejecutando ldp connect en el servidor AD
Usa el FQDN de AD en lugar de la dirección IP.
-
Error al importar el certificado de CA raíz ejecutando el script /opt/Citrix/VDA/sbin/enable_ldaps.sh
Proporciona la ruta completa del certificado de CA y verifica que el certificado de CA raíz sea del tipo correcto. Se supone que es compatible con la mayoría de los tipos de Java Keytool admitidos. Si no aparece en la lista de soporte, puedes convertir el tipo primero. Recomendamos el formato PEM codificado en base64 si encuentras un problema de formato de certificado.
-
Error al mostrar el certificado de CA raíz con Keytool -list
Cuando habilitas LDAPS ejecutando
/opt/Citrix/VDA/sbin/enable_ldaps.sh, el certificado se importa a /etc/xdl/.keystore y se establece la contraseña para proteger el almacén de claves. Si olvidas la contraseña, puedes volver a ejecutar el script para crear un almacén de claves.