LDAPS
LDAPS es la versión segura del Protocolo ligero de acceso a directorios (LDAP), donde las comunicaciones LDAP se cifran mediante TLS/SSL.
- Por defecto, las comunicaciones LDAP entre las aplicaciones cliente y servidor no están cifradas. LDAPS te permite proteger el contenido de las consultas LDAP entre el VDA de Linux y los servidores LDAP.
Los siguientes componentes del VDA de Linux dependen de LDAPS:
- Agente de Broker: Registro del VDA de Linux con un Delivery Controller™
-
Servicio de directivas: Evaluación de directivas
-
La configuración de LDAPS implica:
- Habilitar LDAPS en el servidor de Active Directory (AD)/LDAP
- Exportar la CA raíz para uso del cliente
- Habilitar/deshabilitar LDAPS en el VDA de Linux
- Configurar LDAPS para plataformas de terceros
- Configurar SSSD
- Configurar Winbind
- Configurar Centrify
- Configurar Quest
Nota:
Puedes ejecutar el siguiente comando para establecer un ciclo de supervisión para tus servidores LDAP. El valor predeterminado es de 15 minutos. Establécelo en al menos 10 minutos.
/opt/Citrix/VDA/bin/ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -v "ListOfLDAPServersMonitorPeroid" -t "REG_DWORD" -d "0x0000000f" --force <!--NeedCopy-->
Habilitar LDAPS en el servidor AD/LDAP
Puedes habilitar LDAP sobre SSL (LDAPS) instalando un certificado con el formato adecuado de una autoridad de certificación (CA) de Microsoft o de una CA que no sea de Microsoft.
Consejo:
LDAPS se habilita automáticamente cuando instalas una CA raíz empresarial en un controlador de dominio.
Para obtener más información sobre cómo instalar el certificado y verificar la conexión LDAPS, consulta Cómo habilitar LDAP sobre SSL con una autoridad de certificación de terceros.
Cuando tienes una jerarquía de autoridad de certificación de varios niveles, no tienes automáticamente el certificado adecuado para la autenticación LDAPS en el controlador de dominio.
Para obtener información sobre cómo habilitar LDAPS para controladores de dominio mediante una jerarquía de autoridad de certificación de varios niveles, consulta el artículo Certificado LDAP sobre SSL (LDAPS).
Habilitar la autoridad de certificación raíz para uso del cliente
El cliente debe usar un certificado de una CA en la que confíe el servidor LDAP. Para habilitar la autenticación LDAPS para el cliente, importa el certificado de CA raíz a un almacén de claves de confianza.
Para obtener más información sobre cómo exportar la CA raíz, consulta Cómo exportar el certificado de autoridad de certificación raíz en el sitio web de asistencia de Microsoft.
Habilitar o deshabilitar LDAPS en el VDA de Linux
Para habilitar o deshabilitar LDAPS en el VDA de Linux, ejecuta el script enable_ldaps.sh (mientras inicias sesión como administrador). Para ejecutar el script enable_ldaps.sh en modo no interactivo, exporta las siguientes variables a tu entorno:
#CTX_LDAPS_KEYSTORE_PASSWORD=
#CTX_LDAPS_LDAP_SERVERS=
<!--NeedCopy-->
-
Para habilitar LDAP sobre SSL/TLS con el certificado de CA raíz proporcionado (compatible con el enlace de canal LDAP):
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enable pathToRootCA <!--NeedCopy--> -
Para volver a LDAP sin SSL/TLS
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Disable <!--NeedCopy-->
El almacén de claves de Java dedicado a LDAPS reside en /etc/xdl/.keystore. Las claves de registro afectadas incluyen:
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServers
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServersForPolicy
HKLM\Software\Citrix\VirtualDesktopAgent\UseLDAPS
HKLM\Software\Policies\Citrix\VirtualDesktopAgent\Keystore
HKLM\Software\Citrix\VirtualDesktopAgent\EnableChannelBinding
<!--NeedCopy-->
-
Configurar LDAPS para plataformas de terceros
-
Además de los componentes del VDA de Linux, varios componentes de software de terceros que se adhieren al VDA también podrían requerir LDAP seguro, como SSSD, Winbind, Centrify y Quest. Las siguientes secciones describen cómo configurar LDAP seguro con LDAPS, STARTTLS o SASL sign and seal.
-
Consejo:
-
No todos estos componentes de software prefieren usar el puerto SSL 636 para garantizar un LDAP seguro. Y la mayoría de las veces, LDAPS (LDAP sobre SSL en el puerto 636) no puede coexistir con STARTTLS en el puerto 389.
-
SSSD
Configura el tráfico LDAP seguro de SSSD en el puerto 636 o en el puerto 389 según las opciones. Para obtener más información, consulta la página man de SSSD LDAP para Linux.
Winbind
La consulta LDAP de Winbind utiliza el método ADS. Winbind solo admite el método StartTLS en el puerto 389. Los archivos de configuración afectados son /etc/samba/smb.conf y /etc/openldap/ldap.conf (para Amazon Linux 2, RHEL, Rocky Linux, CentOS y SUSE) o /etc/ldap/ldap.conf (para Debian y Ubuntu). Modifica los archivos de la siguiente manera:
-
smb.conf
ldap ssl = start tlsldap ssl ads = yesclient ldap sasl wrapping = plain -
ldap.conf
TLS_REQCERT never
Alternativamente, puedes configurar LDAP seguro mediante SASL GSSAPI sign and seal, pero no puede coexistir con TLS/SSL. Para usar el cifrado SASL, cambia la configuración de smb.conf:
ldap ssl = off
ldap ssl ads = no
client ldap sasl wrapping = seal
Centrify
Centrify no admite LDAPS en el puerto 636. Sin embargo, proporciona cifrado seguro en el puerto 389. Para obtener más información, consulta el sitio de Centrify.
Quest
Quest Authentication Service no admite LDAPS en el puerto 636, pero proporciona cifrado seguro en el puerto 389 mediante un método diferente.
Solución de problemas
Los siguientes problemas pueden surgir al usar esta función:
-
Disponibilidad del servicio LDAPS
Verifica que la conexión LDAPS esté disponible en el servidor AD/LDAP. El puerto es el 636 por defecto.
-
Error en el registro del VDA de Linux cuando LDAPS está habilitado
Verifica que el servidor y los puertos LDAP estén configurados correctamente. Primero, comprueba el certificado de CA raíz y asegúrate de que coincida con el servidor AD/LDAP.
-
Cambio de registro incorrecto por accidente
Si actualizaste las claves relacionadas con LDAPS por accidente sin usar enable_ldaps.sh, podría romper la dependencia de los componentes de LDAPS.
-
El tráfico LDAP no está cifrado mediante SSL/TLS desde Wireshark o cualquier otra herramienta de supervisión de red
Por defecto, LDAPS está deshabilitado. Ejecuta /opt/Citrix/VDA/sbin/enable_ldaps.sh para forzarlo.
-
No hay tráfico LDAPS desde Wireshark o cualquier otra herramienta de supervisión de red
El tráfico LDAP/LDAPS ocurre cuando se produce el registro del VDA de Linux y la evaluación de la directiva de grupo.
-
No se pudo verificar la disponibilidad de LDAPS ejecutando ldp connect en el servidor AD
Usa el FQDN de AD en lugar de la dirección IP.
-
No se pudo importar el certificado de CA raíz ejecutando el script /opt/Citrix/VDA/sbin/enable_ldaps.sh
Proporciona la ruta completa del certificado de CA y verifica que el certificado de CA raíz sea del tipo correcto. Se supone que es compatible con la mayoría de los tipos de Java Keytool admitidos. Si no aparece en la lista de compatibilidad, puedes convertir el tipo primero. Recomendamos el formato PEM codificado en base64 si encuentras un problema de formato de certificado.
-
No se pudo mostrar el certificado de CA raíz con Keytool -list
Cuando habilitas LDAPS ejecutando
/opt/Citrix/VDA/sbin/enable_ldaps.sh, el certificado se importa a /etc/xdl/.keystore y se establece la contraseña para proteger el almacén de claves. Si olvidas la contraseña, puedes volver a ejecutar el script para crear un almacén de claves.