Documentación de productos
Agente de entrega virtual de Linux 2201
Current Release 2402 LTSR 2311 2308 2305 2303 2301 2212 2210 2209 2207 2206 2204 2203 LTSR 1912 LTSR 7.15 LTSR
Ver PDF

Configurar LDAPS

May 7, 2026
Contribución de: 
C C

LDAP seguro (LDAPS) te permite habilitar el Protocolo ligero de acceso a directorios seguro para tus dominios administrados de Active Directory y así proporcionar comunicaciones a través de SSL (Secure Socket Layer)/TLS (Transport Layer Security).

  • Por defecto, las comunicaciones LDAP entre las aplicaciones cliente y servidor no están cifradas. LDAP con SSL/TLS (LDAPS) te permite proteger el contenido de las consultas LDAP entre el VDA de Linux y los servidores LDAP.

Los siguientes componentes del VDA de Linux tienen dependencias de LDAPS:

  • Agente de broker: Registro del VDA de Linux con un Delivery Controller™

  • Servicio de directivas: Evaluación de directivas

  • La configuración de LDAPS implica:

  • Habilitar LDAPS en el servidor de Active Directory (AD)/LDAP
  • Exportar la CA raíz para uso del cliente
  • Habilitar/deshabilitar LDAPS en el VDA de Linux
  • Configurar LDAPS para plataformas de terceros
  • Configurar SSSD
  • Configurar Winbind
  • Configurar Centrify
  • Configurar Quest

Nota:

Puedes ejecutar el siguiente comando para establecer un ciclo de supervisión para tus servidores LDAP. El valor predeterminado es de 15 minutos. Establécelo en 10 minutos como mínimo.

```
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enable pathToRootCA
<!--NeedCopy--> ```

## Habilitar LDAPS en el servidor de AD/LDAP

Puedes habilitar LDAP a través de SSL (LDAPS) instalando un certificado con el formato adecuado de una autoridad de certificación (CA) de Microsoft o de una CA que no sea de Microsoft.

> **Sugerencia:**
>
-  > LDAP a través de SSL/TLS (LDAPS) se habilita automáticamente al instalar una CA raíz empresarial en un controlador de dominio.

Para obtener más información sobre cómo instalar el certificado y verificar la conexión LDAPS, consulta [Cómo habilitar LDAP a través de SSL con una autoridad de certificación de terceros](https://support.microsoft.com/es-es/kb/321051) en el sitio de asistencia de Microsoft.

-  Cuando tienes una jerarquía de autoridad de certificación de varios niveles (como de dos o tres niveles), no dispones automáticamente del certificado adecuado para la autenticación LDAPS en el controlador de dominio.

Para obtener información sobre cómo habilitar LDAPS para controladores de dominio mediante una jerarquía de autoridad de certificación de varios niveles, consulta el artículo [Certificado LDAP a través de SSL (LDAPS)](http://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx) en el sitio de Microsoft TechNet.

## Habilitar la autoridad de certificación raíz para uso del cliente

El cliente debe usar un certificado de una CA en la que confíe el servidor LDAP. Para habilitar la autenticación LDAPS para el cliente, importa el certificado de CA raíz a un almacén de claves de confianza.

Para obtener más información sobre cómo exportar la CA raíz, consulta [Cómo exportar el certificado de la autoridad de certificación raíz](https://support.microsoft.com/es-es/kb/555252) en el sitio web de asistencia de Microsoft.

## Habilitar o deshabilitar LDAPS en el VDA de Linux

Para habilitar o deshabilitar LDAPS en el VDA de Linux, ejecuta el siguiente script (mientras hayas iniciado sesión como administrador):

La sintaxis de este comando incluye lo siguiente:

-  Habilitar LDAP a través de SSL/TLS con el certificado de CA raíz proporcionado:

```
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enable pathToRootCA
<!--NeedCopy--> ```

-  Habilitar LDAP a través de SSL/TLS con enlace de canal:

```
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enablecb pathToRootCA
<!--NeedCopy--> ```

> **Nota:**
>
> El certificado de CA raíz para el enlace de canal debe estar en formato PEM. Si la habilitación de LDAPS no crea correctamente un entorno virtual de Python3, créalo manualmente siguiendo las instrucciones en [Crear un entorno virtual de Python3](/es-es/linux-virtual-delivery-agent/2201/configuration/create-a-python3-virtual-environment.html).
>
> Para solucionar los errores de conexión SSL que puedas encontrar al usar la herramienta pip, considera agregar los siguientes hosts de confianza al archivo /etc/pip.conf:
> `[global]`
-  > `trusted-host =`
> `pypi.org`
> `files.pythonhosted.org`

-  Volver a LDAP sin SSL/TLS

/opt/Citrix/VDA/sbin/enable_ldaps.sh -Disable
<!--NeedCopy-->

El almacén de claves de Java dedicado a LDAPS se encuentra en /etc/xdl/.keystore. Las claves de registro afectadas incluyen:

HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServers

HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServersForPolicy

HKLM\Software\Citrix\VirtualDesktopAgent\UseLDAPS

HKLM\Software\Policies\Citrix\VirtualDesktopAgent\Keystore

HKLM\Software\Citrix\VirtualDesktopAgent\EnableChannelBinding
<!--NeedCopy-->

  • Configurar LDAPS para plataformas de terceros

  • Además de los componentes del VDA de Linux, varios componentes de software de terceros que se adhieren al VDA también pueden requerir LDAP seguro, como SSSD, Winbind, Centrify y Quest. Las siguientes secciones describen cómo configurar LDAP seguro con LDAPS, STARTTLS o SASL sign and seal.

  • Sugerencia:

  • No todos estos componentes de software prefieren usar el puerto SSL 636 para garantizar un LDAP seguro. Y la mayoría de las veces, LDAPS (LDAP a través de SSL en el puerto 636) no puede coexistir con STARTTLS en el puerto 389.

SSSD

Configura el tráfico LDAP seguro de SSSD en el puerto 636 o en el puerto 389 según las opciones. Para obtener más información, consulta la página man de SSSD LDAP para Linux.

Winbind

La consulta LDAP de Winbind usa el método ADS. Winbind solo admite el método StartTLS en el puerto 389. Los archivos de configuración afectados son /etc/samba/smb.conf y /etc/openldap/ldap.conf (para RHEL) o /etc/ldap/ldap.conf (para Ubuntu). Modifica los archivos de la siguiente manera:

  • smb.conf

    ldap ssl = start tls ldap ssl ads = yes client ldap sasl wrapping = plain

  • ldap.conf

    TLS_REQCERT never

Alternativamente, LDAP seguro se puede configurar mediante SASL GSSAPI sign and seal, pero no puede coexistir con TLS/SSL. Para usar el cifrado SASL, modifica la configuración de smb.conf:

ldap ssl = off ldap ssl ads = no client ldap sasl wrapping = seal

Centrify

Centrify no admite LDAPS en el puerto 636. Sin embargo, proporciona cifrado seguro en el puerto 389. Para obtener más información, consulta el sitio de Centrify.

Quest

Quest Authentication Service no admite LDAPS en el puerto 636, pero proporciona cifrado seguro en el puerto 389 mediante un método diferente.

Solución de problemas

Los siguientes problemas pueden surgir al usar esta función:

  • Disponibilidad del servicio LDAPS

    Verifica que la conexión LDAPS esté disponible en el servidor de AD/LDAP. El puerto es 636 por defecto.

  • Error en el registro del VDA de Linux al habilitar LDAPS

    Verifica que el servidor LDAP y los puertos estén configurados correctamente. Comprueba primero el certificado de CA raíz y asegúrate de que coincida con el servidor de AD/LDAP.

  • Cambio de registro incorrecto por accidente

    Si las claves relacionadas con LDAPS se actualizaron por accidente sin usar enable_ldaps.sh, esto podría romper la dependencia de los componentes de LDAPS.

  • El tráfico LDAP no está cifrado a través de SSL/TLS desde Wireshark o cualquier otra herramienta de supervisión de red

    Por defecto, LDAPS está deshabilitado. Ejecuta /opt/Citrix/VDA/sbin/enable_ldaps.sh para forzarlo.

  • No hay tráfico LDAPS desde Wireshark o cualquier otra herramienta de supervisión de red

    El tráfico LDAP/LDAPS se produce cuando se realizan el registro del VDA de Linux y la evaluación de la directiva de grupo.

  • Error al verificar la disponibilidad de LDAPS ejecutando ldp connect en el servidor de AD

    Usa el FQDN de AD en lugar de la dirección IP.

  • Error al importar el certificado de CA raíz ejecutando el script /opt/Citrix/VDA/sbin/enable_ldaps.sh

    Proporciona la ruta completa del certificado de CA y verifica que el certificado de CA raíz sea del tipo correcto. Se supone que es compatible con la mayoría de los tipos de Java Keytool admitidos. Si no aparece en la lista de compatibilidad, puedes convertir el tipo primero. Recomendamos el formato PEM codificado en base64 si encuentras un problema de formato de certificado.

  • Error al mostrar el certificado de CA raíz con Keytool -list

    Cuando habilitas LDAPS ejecutando /opt/Citrix/VDA/sbin/enable_ldaps.sh, el certificado se importa a /etc/xdl/.keystore y se establece la contraseña para proteger el almacén de claves. Si olvidas la contraseña, puedes volver a ejecutar el script para crear un almacén de claves.

Configurar LDAPS
May 7, 2026
Contribución de: 
C C
May 7, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.