Product Documentation

Configurer LDAPS

Jun 01, 2017

Le protocole LDAPS (LDAP sécurisé) vous permet d’activer le protocole LDAPS (Secure Lightweight Directory Access Protocol) pour vos domaines gérés Active Directory afin de pouvoir utiliser SSL (Secure Socket Layer) ou TLS (Transport Layer Security) pour les communications.

Par défaut, les communications LDAP entre les applications du client et du serveur ne sont pas cryptées. L’utilisation de LDAP en conjonction avec SSL/TLS (LDAPS) vous permet de protéger le contenu de la requête LDAP entre le VDA Linux et les serveurs LDAP.

Les composants VDA Linux suivants ont des dépendances avec LDAPS :

  • Agent broker : enregistrement du VDA Linux auprès du DDC
  • Service de stratégie : évaluation de la stratégie
La configuration de LDAPS implique ce qui suit :
  • Activer LDAPS sur le serveur Active Directory (AD)/LDAP
  • Exporter l'autorité de certification racine pour les clients
  • Activer/désactiver LDAPS sur le VDA Linux
  • Configurer LDAPS pour les plates-formes tierces
  • Configurer SSSD
  • Configurer Winbind
  • Configure Centrify
  • Configurer Quest

Activer LDAPS sur le serveur AD/LDAP

Vous pouvez activer LDAP sur SSL (LDAPS) en installant un certificat correctement formaté provenant d'une autorité de certification (CA) Microsoft ou d’une autorité de certification autre que Microsoft.    

Conseil

LDAP sur SSL/TLS (LDAPS) est automatiquement activé lorsque vous installez une autorité de certification racine d'entreprise sur un contrôleur de domaine.

Pour de plus amples informations sur la manière d’installer le certificat et de vérifier la connexion LDAPS, consultez l’article Comment faire pour activer le protocole LDAP sur SSL avec une autorité de certification tierce sur le site de support de Microsoft.

Lorsque vous disposez d'une hiérarchie d'autorité de certification à plusieurs niveaux (à deux ou trois niveaux par exemple), vous ne disposerez pas automatiquement du certificat approprié pour l'authentification LDAPS sur le contrôleur de domaine.

Pour de plus amples informations sur la manière d’activer LDAPS pour les contrôleurs de domaine à l’aide d’une hiérarchie d'autorité de certification à plusieurs niveaux, consultez l’article LDAP over SSL (LDAPS) Certificate sur le site Microsoft TechNet.

Activer l'autorité de certification racine pour le client

Le client doit utiliser un certificat provenant d'une autorité de certification approuvée par le serveur LDAP. Pour activer l'authentification LDAPS pour le client, importez le certificat d'autorité de certification racine sur le keystore approuvé.

Pour de plus amples informations sur la manière d’exporter l'autorité de certification racine, consultez l’article How to export Root Certification Authority Certificate sur le site Web de support de Microsoft.

Activer ou désactiver LDAPS sur le VDA Linux

Pour activer ou désactiver LDAPS pour VDA Linux, exécutez le script suivant (vous devez être connecté en tant qu'administrateur) :

La syntaxe de cette commande comprend ce qui suit :

  • activer LDAP sur SSL/TLS avec le certificat d’autorité de certification racine fourni :
commande Copier

/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enable pathToRootCA

  • retour à LDAP sans SSL/TLS
commande Copier

/opt/Citrix/VDA/sbin/enable_ldaps.sh -Disable

Le keystore Java dédié à LDAPS se trouve dans /etc/xdl/.keystore. Clés de registre affectées :

commande Copier

HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServers

HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServersForPolicy

HKLM\Software\Citrix\VirtualDesktopAgent\UseLDAPS

HKLM\Software\Policies\Citrix\VirtualDesktopAgent\Keystore

Configurer LDAPS pour une plate-forme tierce

Outre les composants VDA Linux, plusieurs composants logiciels tiers conformes au VDA Linux peuvent également nécessiter le protocole LDAPS, comme SSSD, Winbind, Centrify et Quest. Les sections suivantes décrivent comment configurer le protocole LDAP sécurisé avec LDAPS, STARTTLS ou SASL (signer et sceller).

Conseil

Ces composants logiciels ne préfèrent pas tous utiliser le port SSL 636 pour sécuriser LDAP, et la plupart du temps, LDAPS (LDAP sur SSL sur le port 636) ne peut pas coexister avec STARTTLS sur le port 389.

SSSD

Configurez le trafic LDAP sécurisé SSSD sur le port 636 ou 389 conformément aux options. Pour de plus amples informations, consultez SSSD LDAP Linux man page.

Winbind

La requête LDAP Winbind utilise la méthode ADS ; Winbind prend uniquement en charge la méthode StartTLS sur le port 389. Les fichiers de configuration affectés sont ldap.conf et smb.conf. Modifiez les fichiers comme indiqué ci-dessous :

config Copier

ldap.conf:

TLS_REQCERT never

 

smb.conf:

ldap ssl = start tls

ldap ssl ads = yes

client ldap sasl wrapping = plain

LDAP sécurisé peut également être configuré par SASL GSSAPI (signer et sceller), mais il ne peut pas coexister avec TLS/SSL. Pour utiliser le cryptage SASL, modifiez la configuration du fichier smb.conf :

commande Copier

smb.conf:

ldap ssl = off

ldap ssl ads = no

client ldap sasl wrapping = seal

Centrify

Centrify ne prend pas en charge LDAPS sur le port 636. Toutefois, il fournit un cryptage sécurisé sur le port 389. Pour de plus amples informations, consultez le site Centrify.

Quest

Quest Authentication Service ne prend pas en charge LDAPS sur le port 636, mais il offre un cryptage sécurisé sur le port 389 à l'aide d'une autre méthode. Pour plus d'informations, veuillez consulter l'article Quest authentication.

Résolution des problèmes

Les problèmes suivants peuvent se produire lors de l'utilisation de cette fonctionnalité :

Disponibilité du service LDAPS

Vérifiez que la connexion LDAPS est disponible sur le serveur AD/LDAP. Le port par défaut est 636.

Échec de l'enregistrement du VDA Linux lorsque LDAPS est activé

Vérifiez que le serveur LDAP et le ou les ports sont configurés correctement. Vérifiez le certificat d'autorité de certification racine et assurez-vous qu'il correspond au serveur AD/LDAP.

Modification incorrecte apportée au registre par accident

Si les clés (répertoriées ci-dessus) liées à LDAPS ont été mises à jour par accident sans utiliser enable_ldaps.sh, cela peut rompre la dépendance des composants LDAPS.

Le trafic LDAP n'est pas crypté à l'aide de SSL/TLS depuis Wireshark ou tout autre outil d'analyse du réseau

Par défaut, LDAPS est désactivé. Exécutez /opt/Citrix/VDA/sbin/enable_ldaps.sh pour l’activer.

Il n'existe aucun trafic LDAPS depuis Wireshark ou tout autre outil d'analyse du réseau

Le trafic LDAP/LDAPS se produit lors de l'enregistrement du VDA Linux et de l'évaluation de la stratégie de groupe.

Impossible de vérifier la disponibilité de LDAPS en exécutant ldp Connect sur le serveur Active Directory

Utilisez le nom de domaine complet (FQDN) Active Directory au lieu de l'adresse IP.

Impossible d'importer le certificat d'autorité de certification racine en exécutant le script /opt/Citrix/VDA/sbin/enable_ldaps.sh

Fournissez le chemin d'accès complet du certificat d’autorité de certification, et vérifiez que le type de certificat d'autorité de certification racine est correct. En général, il est supposé fonctionner avec la plupart des types de keystore Java pris en charge. S’il n'est pas répertorié dans la liste, vous pouvez convertir le type. Citrix recommande le format PEM codé en base64 si vous rencontrez un problème avec le format du certificat.

Impossible d'afficher le certificat d’autorité de certification racine avec la commande -list de Keytool

Lorsque vous activez LDAPS en exécutant /opt/Citrix/VDA/sbin/enable_ldaps.sh, le certificat est importé sur /etc/xdl/.keystore, et le mot de passe est défini pour protéger le keystore. Si vous avez oublié le mot de passe, vous pouvez réexécuter le script pour créer un nouveau keystore.