LDAPS
LDAPS es la versión segura del Protocolo ligero de acceso a directorios (LDAP), donde las comunicaciones LDAP se cifran mediante TLS/SSL.
- Por defecto, las comunicaciones LDAP entre las aplicaciones cliente y servidor no están cifradas. LDAPS te permite proteger el contenido de las consultas LDAP entre el VDA de Linux y los servidores LDAP.
Los siguientes componentes del VDA de Linux tienen dependencias de LDAPS:
- Agente de Broker: registro del VDA de Linux con un Delivery Controller™
-
Servicio de directivas: evaluación de directivas
-
La configuración de LDAPS implica:
- Habilitar LDAPS en el servidor de Active Directory (AD)/LDAP
- Exportar la CA raíz para uso del cliente
- Habilitar/deshabilitar LDAPS en el VDA de Linux
- Configurar LDAPS para plataformas de terceros
- Configurar SSSD
- Configurar Winbind
- Configurar Centrify
- Configurar Quest
Nota:
Puedes ejecutar el siguiente comando para establecer un ciclo de supervisión para tus servidores LDAP. El valor predeterminado es de 15 minutos. Establécelo en 10 minutos como mínimo.
/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -v "ListOfLDAPServersMonitorPeroid" -t "REG_DWORD" -d "0x0000000f" --force <!--NeedCopy-->
Habilitar LDAPS en el servidor de AD/LDAP
Puedes habilitar LDAP sobre SSL (LDAPS) instalando un certificado con el formato adecuado de una entidad de certificación (CA) de Microsoft o de una CA que no sea de Microsoft.
Consejo:
LDAPS se habilita automáticamente cuando instalas una CA raíz empresarial en un controlador de dominio.
Para obtener más información sobre cómo instalar el certificado y verificar la conexión LDAPS, consulta Cómo habilitar LDAP sobre SSL con una entidad de certificación de terceros.
- Cuando tienes una jerarquía de entidad de certificación de varios niveles, no dispones automáticamente del certificado adecuado para la autenticación LDAPS en el controlador de dominio.
Para obtener información sobre cómo habilitar LDAPS para controladores de dominio mediante una jerarquía de entidad de certificación de varios niveles, consulta el artículo Certificado LDAP sobre SSL (LDAPS).
Habilitar la entidad de certificación raíz para uso del cliente
El cliente debe usar un certificado de una CA en la que confíe el servidor LDAP. Para habilitar la autenticación LDAPS para el cliente, importa el certificado de CA raíz a un almacén de claves de confianza.
Para obtener más información sobre cómo exportar la CA raíz, consulta Cómo exportar el certificado de la entidad de certificación raíz en el sitio web de asistencia de Microsoft.
Habilitar o deshabilitar LDAPS en el VDA de Linux
Para habilitar o deshabilitar LDAPS en el VDA de Linux, ejecuta el siguiente script (mientras inicias sesión como administrador):
La sintaxis de este comando incluye lo siguiente:
-
Habilitar LDAP sobre SSL/TLS con el certificado de CA raíz proporcionado:
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enable pathToRootCA <!--NeedCopy--> -
Habilitar LDAP sobre SSL/TLS con enlace de canal:
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enablecb pathToRootCA <!--NeedCopy-->Nota:
El certificado de CA raíz para el enlace de canal debe estar en formato PEM. Si la habilitación de LDAPS no crea correctamente un entorno virtual de Python3, créalo manualmente siguiendo las instrucciones en Crear un entorno virtual de Python3.
Para solucionar los errores de conexión SSL que puedas encontrar al usar la herramienta pip, considera agregar los siguientes hosts de confianza al archivo /etc/pip.conf:
[global] -
trusted-host =pypi.orgfiles.pythonhosted.org - Volver a LDAP sin SSL/TLS
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Disable
<!--NeedCopy-->
El almacén de claves de Java dedicado a LDAPS reside en /etc/xdl/.keystore. Las claves de registro afectadas incluyen:
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServers
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServersForPolicy
HKLM\Software\Citrix\VirtualDesktopAgent\UseLDAPS
HKLM\Software\Policies\Citrix\VirtualDesktopAgent\Keystore
HKLM\Software\Citrix\VirtualDesktopAgent\EnableChannelBinding
<!--NeedCopy-->
-
Configurar LDAPS para plataformas de terceros
-
Además de los componentes del VDA de Linux, varios componentes de software de terceros que se adhieren al VDA también pueden requerir LDAP seguro, como SSSD, Winbind, Centrify y Quest. Las siguientes secciones describen cómo configurar LDAP seguro con LDAPS, STARTTLS o SASL sign and seal.
-
Consejo:
-
No todos estos componentes de software prefieren usar el puerto SSL 636 para garantizar un LDAP seguro. Y la mayoría de las veces, LDAPS (LDAP sobre SSL en el puerto 636) no puede coexistir con STARTTLS en el puerto 389.
SSSD
Configura el tráfico LDAP seguro de SSSD en el puerto 636 o en el puerto 389 según las opciones. Para obtener más información, consulta la página man de SSSD LDAP de Linux.
Winbind
La consulta LDAP de Winbind usa el método ADS. Winbind solo admite el método StartTLS en el puerto 389. Los archivos de configuración afectados son /etc/samba/smb.conf y /etc/openldap/ldap.conf (para RHEL) o /etc/ldap/ldap.conf (para Ubuntu). Modifica los archivos de la siguiente manera:
-
smb.conf
ldap ssl = start tlsldap ssl ads = yesclient ldap sasl wrapping = plain -
ldap.conf
TLS_REQCERT never
Alternativamente, puedes configurar LDAP seguro mediante SASL GSSAPI sign and seal, pero no puede coexistir con TLS/SSL. Para usar el cifrado SASL, cambia la configuración de smb.conf:
ldap ssl = off
ldap ssl ads = no
client ldap sasl wrapping = seal
Centrify
Centrify no admite LDAPS en el puerto 636. Sin embargo, proporciona cifrado seguro en el puerto 389. Para obtener más información, consulta el sitio de Centrify.
Quest
Quest Authentication Service no admite LDAPS en el puerto 636, pero proporciona cifrado seguro en el puerto 389 mediante un método diferente.
Solución de problemas
Los siguientes problemas pueden surgir al usar esta función:
-
Disponibilidad del servicio LDAPS
Verifica que la conexión LDAPS esté disponible en el servidor de AD/LDAP. El puerto es el 636 por defecto.
-
Error en el registro del VDA de Linux cuando LDAPS está habilitado
Verifica que el servidor LDAP y los puertos estén configurados correctamente. Primero, comprueba el certificado de CA raíz y asegúrate de que coincida con el servidor de AD/LDAP.
-
Cambio de registro incorrecto por accidente
Si actualizaste las claves relacionadas con LDAPS por accidente sin usar enable_ldaps.sh, podría romper la dependencia de los componentes de LDAPS.
-
El tráfico LDAP no está cifrado a través de SSL/TLS desde Wireshark o cualquier otra herramienta de supervisión de red
Por defecto, LDAPS está deshabilitado. Ejecuta /opt/Citrix/VDA/sbin/enable_ldaps.sh para forzarlo.
-
No hay tráfico LDAPS desde Wireshark o cualquier otra herramienta de supervisión de red
El tráfico LDAP/LDAPS ocurre cuando se produce el registro del VDA de Linux y la evaluación de la directiva de grupo.
-
Error al verificar la disponibilidad de LDAPS ejecutando ldp connect en el servidor de AD
Usa el FQDN de AD en lugar de la dirección IP.
-
Error al importar el certificado de CA raíz al ejecutar el script /opt/Citrix/VDA/sbin/enable_ldaps.sh
Proporciona la ruta completa del certificado de CA y verifica que el certificado de CA raíz sea del tipo correcto. Se supone que es compatible con la mayoría de los tipos de Java Keytool admitidos. Si no aparece en la lista de compatibilidad, puedes convertir el tipo primero. Recomendamos el formato PEM codificado en base64 si encuentras un problema de formato de certificado.
-
Error al mostrar el certificado de CA raíz con Keytool -list
Cuando habilitas LDAPS ejecutando
/opt/Citrix/VDA/sbin/enable_ldaps.sh, el certificado se importa a /etc/xdl/.keystore y se establece una contraseña para proteger el almacén de claves. Si olvidas la contraseña, puedes volver a ejecutar el script para crear un almacén de claves.