En esta página, se muestra cómo habilitar LDAP mediante SSL/TLS (LDAPS) para el servicio administrado de Microsoft Active Directory (Microsoft AD administrado) para que tu tráfico LDAP sea confidencial y seguro. De de forma predeterminada, la comunicación entre Microsoft AD administrado y el cliente aplicaciones no está encriptada para enlaces LDAP simples.
Para habilitar LDAPS, debes tener un certificado. En esta página, también se describen las las especificaciones del certificado requerido y cómo verificarlo y supervisarlo.
Solicitar un certificado
Puede solicitar un certificado de Public Certificate Authority (CA), una AC empresarial, Certificate Authority Service de Google Cloud o usa un certificado autofirmado. Si usas un certificado autofirmado, sigue las Documentación de Microsoft vinculada a los comandos de PowerShell en el siguiente secciones.
Puedes crear un certificado autofirmado con el New-SelfSignedCertificate
en Windows, OpenSSL o MakeCert.
Requisitos del certificado
Tu certificado debe cumplir con los siguientes requisitos:
- En la siguiente tabla, se describen los requisitos para crear una
certificado y se enumeran los parámetros asociados utilizados en el
New-SelfSignedCertificatekubectl: Ten en cuenta que los nombres de los parámetros o campos pueden variar según la forma en que crees el certificado.
| Parámetro | Descripción |
|---|---|
Subject (nombre del asunto) |
Debe ser el nombre con prefijo de comodín de tu
Dominio de Microsoft AD administrado para garantizar que el servicio permanezca disponible
durante un proceso de actualización o restablecimiento. Esto se debe a que los controladores de dominio
que cambian durante un proceso de actualización o restablecimiento. Por ejemplo, si el nombre de dominio
es ad.mycompany.com, el nombre del asunto debe ser CN=*.ad.mycompany.com
|
DnsName (nombre de DNS o nombre alternativo del sujeto) |
Debe incluir solo lo siguiente:"CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
|
KeySpec |
Se debe establecer en 1, lo que indica que se puede usar para
la firma digital y el intercambio de claves.
|
KeyLength |
El tamaño mínimo de la clave depende del algoritmo criptográfico. |
KeyUsage |
Debe incluir "firmas digitales" y "encriptación de claves". |
TextExtension o EnhancedKeyUsageExtension |
Debe tener OID=1.3.6.1.5.5.7.3.1 para
autenticación del servidor.
|
NotBefore |
La hora a partir de la cual el certificado es válido. El certificado debe ser válido cuando se habilita LDAPS. |
NotAfter |
La fecha en la que el certificado no es válido. El certificado debe ser válido cuando se habilita LDAPS. |
KeyAlgorithm (algoritmo de firma) |
Los algoritmos de firma débiles como SHA-1, MD2 y MD5 no son compatibles. |
Cadena emisora: Se debe subir toda la cadena de certificados, válido. La cadena debe ser lineal y no puede tener varias cadenas.
Formato del certificado: el formato debe cumplir con la criptografía de clave pública Estándares (PKCS) n.o 12. Debes usar un archivo PFX.
Solicitud de Public CA o empresarial
Para solicitar un certificado a una AC pública o empresarial, sigue estos pasos.
Aceptar el certificado en la misma VM en la que se genera la solicitud
Exporta el certificado en formato PKCS n.o 12
Para exportar el certificado en formato PKCS #12 (como un archivo PFX), completa los siguientes pasos:
En Windows, navega a tus certificados en la pestaña Administración de Microsoft Consola (MMC).
Expande Local Computer Certificates y navega a Personal > Certificados.
Haz clic con el botón derecho en el certificado que creaste para habilitar LDAPS y selecciona All Tasks > Export.
En el cuadro de diálogo Certificate Export Wizard que aparece, haz clic en Next.
En la página Exportar clave privada, selecciona Sí para exportarla.
En la página Export File Format, selecciona Personal Information Exchange - PKCS #12 (.PFX) y también Incluir todos los certificados en la ruta de certificación (si es posible). Haz clic en Siguiente.
En la página Seguridad, selecciona la casilla de verificación Contraseña y, luego, ingresa una contraseña segura contraseña para proteger el certificado. Haz clic en Siguiente. Esta contraseña es cuando configuras LDAPS en tu dominio administrado de Microsoft AD.
En la página Archivo a exportar, ingresa el nombre y la ruta de destino del archivo PFX que deseas exportar. Haz clic en Siguiente.
Haz clic en Finish (Finalizar).
Exportar un certificado autofirmado con la clave privada en formato PKCS n.o 12 como
archivo PFX, usa el archivo Export-PfxCertificate
comando
y para exportar el certificado autofirmado como archivo PEM, usa el
Export-Certificate
kubectl.
Distribuye la cadena de entidad emisora a las computadoras de los clientes
Para que LDAPS funcione, todas las computadoras de los clientes deben confiar en el emisor del certificado LDAPS. Para Public CA conocida, las computadoras del cliente posiblemente ya confíen en la cadena de entidad emisora. Si la cadena no es de confianza, completa el sigue estos pasos para exportar la cadena de entidades emisoras:
En Windows, navega a tus certificados en la pestaña Administración de Microsoft Consola (MMC).
Expande Certificados locales de computadora y navega a Personal > Certificados. Haz doble clic en el certificado LDAPS.
En la ventana Certificado, haz clic en la pestaña Ruta de certificación.
En la pestaña Ruta de la certificación, selecciona el certificado raíz en la ruta.
Haz clic en Ver certificado.
Haz clic en la pestaña Detalles y, luego, en Copiar en el archivo...
En el diálogo Certificate Export Wizard que aparece, selecciona Base-64 codificado en X.509 y haz clic en Siguiente.
Selecciona el nombre del archivo y la ubicación de la cadena de certificados y haz clic en Finalizar.
Copiar el certificado en la computadora cliente que establece LDAPS usa el cuadro de diálogo del Asistente de importación de certificados para importar en el campo "Local Machine" en una tienda física. Como alternativa, puedes distribuir la cadena de certificados de las autoridades emisoras a las computadoras cliente que usen Grupo Política en Windows.
Para importar un certificado autofirmado al almacén de certificados raíz de confianza de la red
usa el Import-Certificate
kubectl:
Habilita LDAPS en un dominio de Microsoft AD administrado
Antes de habilitar LDAPS en tu dominio de Microsoft AD administrado, haz lo siguiente:
Asegúrate de tener uno de los siguientes roles de IAM:
- Administrador de identidades administradas de Google Cloud (
roles/managedidentities.admin) - Administrador de dominios de identidades administradas de Google Cloud
(
roles/managedidentities.domainAdmin)
Para obtener más información sobre los roles de IAM de Microsoft AD administrado, consulta Control de acceso.
- Administrador de identidades administradas de Google Cloud (
Para habilitar LDAPS en tu dominio de Microsoft AD administrado, completa los siguientes pasos: pasos:
Console
- En la consola de Google Cloud, ve a Microsoft AD administrado
.
Ir a Microsoft AD administrado - En la página Dominios, selecciona un dominio de la lista de instancias para habilitar LDAPS.
- En la sección LDAPS de la página Detalles del dominio, haz clic en Configurar LDAPS.
- En el panel Configure LDAPS, ingresa la ubicación del archivo PFX y la contraseña que usaste para exportar el certificado en PKCS n.o 12 formato y y, luego, en Configurar LDAPS.
gcloud
Ejecuta el siguiente comando de la CLI de gcloud:
gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
--certificate-pfx-file=PFX_FILENAME \
--certificate-password=PASSWORD
Reemplaza lo siguiente:
- DOMAIN_NAME: Es el nombre completo del recurso de tu dominio de Microsoft AD administrado. Formato de nombre de recurso completo:
projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME - PFX_FILENAME: Es el archivo PFX con formato PKCS #12 que especifica la cadena de certificados que se usa para configurar LDAPS.
- PASSWORD: Es la contraseña que se usó para encriptar el PKCS #12. certificado. Si no especificas la contraseña, se te solicitará contraseña mientras ejecutas el comando.
Esta operación puede tardar hasta 20 minutos en completarse. Para actualizar el certificado, repite estos pasos con el archivo PFX actualizado.
Verificar LDAPS
Puedes verificar que LDAPS esté habilitado realizando un enlace LDAPS. Este proceso
usa LDP.exe, que es uno de los RSAT
herramientas
que instalas cuando te unes a una VM al dominio.
En una VM de Windows de Google Cloud unida al dominio, completa los siguientes pasos en PowerShell:
En PowerShell, inicia
LDP.exey navega hasta Conexión > Conectar.En el diálogo Connect, completa los siguientes pasos:
- En el campo Servidor, ingresa el nombre de tu dominio.
- En el campo Puerto, escribe
636. - Selecciona la casilla de verificación SSL.
- Haz clic en Aceptar.
Si LDAPS se habilita correctamente, la conexión se realiza de forma correcta.
Supervisa un certificado
Puedes ver el tiempo de actividad (TTL) para una cadena de certificados en Cloud Monitoring. La métrica cert_ttl muestra la cantidad de días válidos restantes del certificado en la cadena con el vencimiento más antiguo.
Console
Para consultar las métricas de un recurso supervisado usando el Explorador de métricas, haz lo siguiente:
-
En la consola de Google Cloud, ve a la página leaderboardExplorador de métricas:
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.
- En el elemento Métrica, expande el menú Seleccionar una métrica,
ingresa
LDAPS Certificate TTLen la barra de filtros y, luego, usa los submenús para seleccionar un métrica y tipo de recurso específicos:- En el menú Recursos de Active, selecciona Dominio de Active Directory de Microsoft.
- En el menú Categorías de métricas activas, selecciona Microsoft_ad.
- En el menú Métricas activas, selecciona TTL del certificado de LDAPS.
- Haz clic en Aplicar.
Para quitar series temporales de la pantalla, usa el elemento Filtro.
Para combinar series temporales, usa los menús del elemento Agregación. Por ejemplo, para mostrar el uso de CPU de tus VM, en función de su zona, configura el primer menú como Mean y el segundo menú como zona.
Todas las series temporales se muestran cuando el primer menú del elemento Agregación se establece en Sin agregar. La configuración predeterminada para el elemento Agregación está determinada por el tipo de métrica que elegiste.
- Para obtener cuotas y otras métricas que informen una muestra por día, haz lo siguiente:
- En el panel Mostrar, establece el Tipo de widget en Gráfico de barras apiladas.
- Establece el período en al menos una semana.
También puedes hacer clic en Supervisión en la sección LDAPS de Dominio de detalles para navegar al Explorador de métricas.
También puedes usar el editor de consultas para buscar estas métricas.
En la pestaña Métrica, selecciona Editor de consultas.
En el campo de texto del Editor de consultas, ingresa la siguiente consulta de MQL y selecciona Ejecutar consulta.
fetch microsoft_ad_domain | metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl' | group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)] | every 1m | group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]
Inhabilita LDAPS
Para inhabilitar LDAPS, completa los siguientes pasos:
Console
- En la consola de Google Cloud, ve a la página Microsoft AD administrado.
Ir a Microsoft AD administrado - En la página Dominios, selecciona el dominio de la lista de instancias. para el que quieres inhabilitar el certificado.
- En la sección LDAPS de la página Detalles del dominio, haz clic en Inhabilitar:
gcloud
Ejecuta el siguiente comando de la CLI de gcloud:
gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
--clear-ldaps-certificate
Reemplaza DOMAIN_NAME por el recurso completo.
nombre de Microsoft AD administrado
dominio. Formato de nombre de recurso completo:
projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME
Esta operación puede tardar hasta 20 minutos en completarse. Para volver a habilitar LDAPS, debes volver a subir los certificados.