Utiliser LDAPS

Cette page explique comment activer le protocole LDAP sur SSL/TLS (LDAPS) pour le service géré pour Microsoft Active Directory (Microsoft AD géré), afin de rendre votre trafic LDAP confidentiel et sécurisé. Par défaut, la communication entre le service Microsoft AD géré et les applications clientes n'est pas chiffrée pour les liaisons LDAP simples.

Pour activer le protocole LDAPs, vous devez disposer d'un certificat. Cette page décrit également les spécifications relatives au certificat requis, et explique comment le valider et le surveiller.

Demander un certificat

Vous pouvez demander un certificat à une autorité de certification publique, à une autorité de certification d'entreprise, à Google Cloud Certificate Authority Service ou à l'aide d'un certificat autosigné. Vous pouvez créer un certificat autosigné avec la commande New-SelfSignedCertificate sous Windows, OpenSSL ou CreateCert.

Exigences relatives aux certificats

Votre certificat doit répondre aux exigences suivantes:

  • Nom de l'objet:il doit s'agir du nom générique de votre domaine Microsoft AD géré pour que le service reste disponible lors d'une mise à niveau ou d'une restauration. En effet, les contrôleurs de domaine utilisent des noms aléatoires qui changent au cours d'une mise à niveau ou d'un rétablissement. Par exemple, si le nom de domaine est ad.mycompany.com, le nom de l'objet doit être CN=*.ad.mycompany.com.

  • Autre nom de l'objet (nom DNS ou SAN) : il ne doit inclure que les éléments suivants:

    • Nom générique de votre domaine Microsoft AD géré
    • Nom de domaine Microsoft AD géré.

    Par exemple : "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"

  • KeySpec : il doit être défini sur "1", ce qui signifie qu'il peut être utilisé à la fois pour la signature numérique et l'échange de clés.

  • Longueur de clé : la taille de clé minimale dépend de l'algorithme cryptographique.

    • RSA : au moins 2 048 bits
    • ECDSA:au moins 256 bits
    • ED25519 : 512 bits (longueur fixe)
  • KeyUsage : doit inclure les signatures numériques et le chiffrement de la clé.

  • EnhancedKeyUsageExtension:l'authentification du serveur doit être définie sur OID=1.3.6.1.5.5.7.3.1.

  • NotBefore (Non avant) : heure à partir de laquelle le certificat est valide. Le certificat doit être valide lors de l'activation de LDAPS.

  • NotAfter:heure après laquelle le certificat n'est pas valide. Le certificat doit être valide lors de l'activation de LDAPS.

  • Chaîne émettrice : l'ensemble de la chaîne de certificats doit être importé et valide. La chaîne doit être linéaire et ne peut pas comporter plusieurs chaînes.

  • Algorithme de signature : les algorithmes de signature peu sécurisés tels que SHA-1, MD2 et MD5 ne sont pas compatibles.

  • Format de certificat:le format doit être conforme aux normes PKCS (Public-Key Cryptography Standards) n° 12. Vous devez utiliser un fichier PFX.

Demande à partir d'une autorité de certification publique ou d'entreprise

Pour demander un certificat à une autorité de certification publique ou entreprise, suivez ces étapes.

Acceptez le certificat sur la VM où la requête est générée.

Exporter le certificat au format PKCS #12

Pour exporter le certificat au format PKCS #12 (sous forme de fichier PFX), procédez comme suit:

  1. Sous Windows, accédez à vos certificats dans la console de gestion Microsoft (MMC).

  2. Développez Certificats d'ordinateur local et accédez à Certificats > personnels.

  3. Effectuez un clic droit sur le certificat que vous avez créé pour activer LDAPS, puis sélectionnez Toutes les tâches > Exporter.

  4. Dans la boîte de dialogue Certificate Export Wizard (Assistant d'exportation des certificats) qui s'affiche, cliquez sur Next (Suivant).

  5. Sur la page Exporter la clé privée, sélectionnez Oui pour exporter la clé privée.

  6. Sur la page Exporter le format de fichier, sélectionnez Échange d'informations personnelles - PKCS #12 (.PFX) et Inclure tous les certificats dans le chemin de certification si possible. Cliquez sur Suivant.

  7. Sur la page Sécurité, cochez la case Mot de passe, puis saisissez un mot de passe sécurisé pour protéger le certificat. Cliquez sur Next (Suivant). Ce mot de passe est requis lors de la configuration de LDAPS sur votre domaine Microsoft AD géré.

  8. Sur la page File to Export (Fichier à exporter), saisissez le nom et le chemin de destination du fichier PFX à exporter. Cliquez sur Suivant.

  9. Cliquez sur Finish (Terminer).

Exporter la chaîne d'émetteur vers des ordinateurs clients

Pour que LDAPS fonctionne, tous les ordinateurs clients doivent approuver l'émetteur du certificat LDAPS. Pour une autorité de certification publique connue, les ordinateurs clients peuvent déjà faire confiance à la chaîne de l'émetteur. Si la chaîne n'est pas approuvée, procédez comme suit pour exporter la chaîne d'émetteurs:

  1. Sous Windows, accédez à vos certificats dans la console de gestion Microsoft (MMC).

  2. Développez Certificats de l'ordinateur local et accédez à Certificats > personnels. Double-cliquez sur le certificat LDAPS.

  3. Dans la fenêtre Certificat, cliquez sur l'onglet Chemin de certification.

  4. Dans l'onglet Chemin de certification, sélectionnez le certificat racine du chemin.

  5. Cliquez sur Afficher le certificat.

  6. Cliquez sur Détails, puis sur Copier dans un fichier.

  7. Dans la boîte de dialogue Certificat d'exportation du certificat qui s'affiche, sélectionnez X.509 encodé en base64, puis cliquez sur Suivant.

  8. Sélectionnez le nom de fichier et l'emplacement de la chaîne de certificats, puis cliquez sur Terminer.

  9. Pour copier le certificat sur l'ordinateur client qui établit une connexion LDAPS, utilisez la boîte de dialogue Certificate Import Wizard (Importer l'importation de certificat) pour importer le certificat dans le magasin &local; Vous pouvez également distribuer la chaîne de certificats des autorités émettrices sur les ordinateurs clients à l'aide de la stratégie de groupe sous Windows.

Activer LDAPS sur un domaine Microsoft AD géré

Pour activer LDAPS sur votre domaine Microsoft AD géré, procédez comme suit:

  1. Vérifiez que vous disposez de l'un des rôles IAM suivants:

    • Administrateur Google Cloud Managed Identities (roles/managedidentities.admin)
    • Administrateur de domaine Google Cloud Managed Identities (roles/managedidentities.domainAdmin)

    Pour en savoir plus sur les rôles IAM Microsoft AD gérés, consultez Contrôle des accès.

  2. Exécutez la commande CLI gcloud suivante:

   gcloud active-directory domains update-ldaps-settings DOMAIN_NAME 
--certificate-pfx-file=PFX_FILENAME
--certificate-password=PASSWORD

Remplacez les éléments suivants :

  • DOMAIN_NAME : nom complet de la ressource de votre domaine Microsoft AD géré. Format complet du nom de la ressource: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
  • PFX_FILENAME : fichier PFX au format PKCS #12 spécifiant la chaîne de certificats utilisée pour configurer LDAPS.
  • PASSWORD : mot de passe utilisé pour chiffrer le certificat PKCS #12. Si vous ne spécifiez pas le mot de passe, vous serez invité à le saisir lors de l'exécution de la commande.

Valider LDAPS

Vous pouvez vérifier que LDAPS est activé en effectuant une liaison LDAPS. Ce processus utilise LDP.exe, l'un des outils RSAT que vous installez lorsque vous associez une VM à un domaine.

Dans une VM Windows Google Cloud associée à un domaine, procédez comme suit dans PowerShell:

  1. Dans PowerShell, démarrez LDP.exe et accédez à Connection > Connect.

  2. Dans la boîte de dialogue Connect (Connecter), procédez comme suit:

    1. Dans le champ Serveur, saisissez votre nom de domaine.
    2. Dans le champ Port, saisissez 636.
    3. Cochez la case SSL.
    4. Cliquez sur OK.

    Si LDAPS est correctement activé, la connexion aboutit.

Surveiller un certificat

Vous pouvez afficher la valeur TTL (Time To Live) d'une chaîne de certificats dans Cloud Monitoring. La métrique cert_ttl indique le nombre de jours valides pour le certificat de la chaîne avec la date d'expiration la plus ancienne.

Pour afficher les métriques d'une ressource surveillée à l'aide de l'explorateur de métriques, procédez comme suit:

  1. Dans Google Cloud Console, accédez à la page "Explorateur de métriques" de Monitoring.
  2. Accéder à l'explorateur de métriques

  3. Dans la barre d'outils, sélectionnez l'onglet Explorateur.
  4. Accédez à l'onglet Configuration.
  5. Développez le menu Sélectionner une métrique, saisissez LDAPS Certificate TTL dans la barre de filtre, puis utilisez les sous-menus pour sélectionner un type de ressource et une métrique spécifiques :
    1. Dans le menu Ressources actives, sélectionnez Domaine Microsoft Active Directory.
    2. Dans le menu Catégories de métriques actives, sélectionnez Microsoft_ad.
    3. Dans le menu Active Metrics (Métriques actives), sélectionnez LDAPS Certificate TTL (Valeur TTL du certificat LDAP).
    4. Cliquez sur Appliquer.
  6. Facultatif : pour configurer l'affichage des données, ajoutez des filtres et utilisez les menus Grouper par, Agrégateur et type de graphique. Par exemple, vous pouvez grouper les données par libellé de ressource ou de métrique. Pour plus d'informations, consultez la section Sélectionner des métriques lors de l'utilisation de l'explorateur de métriques.
  7. Facultatif : modifiez les paramètres du graphique :
    • Pour le quota et les autres métriques qui indiquent un échantillon par jour, définissez la période sur au moins une semaine et définissez le type de tracé sur Graphique à barres empilées.
    • Pour les métriques à valeur de distribution, définissez le type de tracé sur Graphique de carte de densité.

Vous pouvez également utiliser l'éditeur de requête pour rechercher ces métriques.

  1. Dans l'onglet Métrique, sélectionnez Éditeur de requête.

  2. Dans le champ de texte de l'éditeur de requête, saisissez la requête MQL suivante et sélectionnez Run Query (Exécuter la requête).

    fetch microsoft_ad_domain
    | metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
    | group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
    | every 1m
    | group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]
    

Désactiver LDAPS

Pour désactiver LDAPS, exécutez la commande gcloud suivante:

gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
     --clear-ldaps-certificate

Remplacez DOMAIN_NAME par le nom complet de la ressource de votre domaine Microsoft AD géré. Format complet du nom de la ressource: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.