Utiliser LDAPS

Par défaut, la communication entre le service géré pour Microsoft Active Directory et les applications clientes n'est pas chiffrée pour les liaisons LDAP simples. Vous pouvez rendre le trafic LDAP privé et sécurisé en utilisant LDAP sur SSL (LDAP).

Cette rubrique explique comment activer et désactiver LDAP sur SSL (LDAPS) pour le service géré pour Microsoft Active Directory. Cette rubrique décrit également les spécifications du certificat requis, et explique comment les vérifier et les surveiller.

Demander un certificat

Vous pouvez demander le certificat auprès d'une autorité de certification publique, d'une autorité de certification d'entreprise ou du service d'autorité de certification Google Cloud, ou utiliser un certificat autosigné. Vous pouvez créer un certificat autosigné à l'aide de la commande New-SelfSignedCertificate sous Windows, OpenSSL ou MakeCert.

Conditions requises pour le certificat

Votre certificat doit répondre aux exigences suivantes.

  • Nom de l'objet : Il doit s'agir du nom du préfixe Microsoft AD géré. Par exemple, si le nom de domaine est ad.mycompany.com, le nom de l'objet doit être CN=*.ad.mycompany.com.

  • Nom d'objet de remplacement (nom DNS ou SAN). Il ne doit inclure que les éléments suivants:

    • Nom générique de votre domaine Microsoft AD géré
    • Nom de domaine Microsoft AD géré. Par exemple : "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
  • KeySpec. Il doit être défini sur "1", ce qui signifie qu'il peut être utilisé pour la signature numérique et l'échange de clés.

  • KeyLength : La taille minimale de la clé dépend de l'algorithme de chiffrement.

    • RSA: au moins 2 048 bits
    • ECDSA: au moins 256 bits
    • ED25519: 512 bits (longueur fixe)
  • KeyUsage : Elle doit inclure "signatures numériques" et "Chiffrement de clé".

  • EnhancedKeyUsageExtension. Elle doit porter le numéro OID=1.3.6.1.5.5.7.3.1 pour l'authentification du serveur.

  • NotBefore Heure à laquelle le certificat est valide. Le certificat doit être valide lors de l'activation de LDAPS.

  • NotAfter. Délai après lequel le certificat n'est pas valide. Le certificat doit être valide lors de l'activation de LDAPS.

  • Émission de la chaîne. La chaîne de certificats complète doit être importée et valide. La chaîne doit être linéaire et ne peut pas comporter plusieurs chaînes.

  • Algorithme de signature. Les algorithmes de signature faibles tels que SHA-1, MD2, MD5 ne sont pas compatibles.

  • Format de certificat. Le format doit respecter les normes PKCS (Public-Key Cryptography Standards) 12. Vous devez utiliser un fichier PFX.

Effectuer une demande auprès d'une autorité de certification publique ou d'entreprise

Pour demander un certificat à une autorité de certification publique ou d'entreprise, suivez cette procédure.

Assurez-vous d'accepter le certificat sur la VM où la requête est générée.

Exporter le certificat au format PKCS #12

Pour exporter le certificat au format PKCS #12, procédez comme suit pour l'exporter en tant que fichier PFX.

  1. Sous Windows, dans la console de gestion Microsoft (MMC), accédez à vos certificats.

  2. Développez Certificats d'ordinateur local, puis accédez à Certificats > personnels.

  3. Effectuez un clic droit sur le certificat que vous avez créé pour activer LDAPS, puis sélectionnez All Tasks > Export (Toutes les tâches).

  4. Dans l'assistant d'exportation de certificats, sélectionnez Suivant.

  5. Sur la page Exporter la clé privée, sélectionnez Oui pour exporter la clé privée.

  6. Sur la page Exporter le format de fichier, sélectionnez Échange d'informations personnelles - PKCS #12 (.PFX) et Inclure tous les certificats dans le chemin de certification if{101. }possible, puis sélectionnez Suivant.

  7. Sur la page Sécurité, sélectionnez Mot de passe, puis saisissez un mot de passe sécurisé pour protéger le certificat. Ce mot de passe est requis lors de la configuration de LDAPS sur votre domaine Microsoft AD géré. Cliquez sur Suivant.

  8. Sur la page Fichier à exporter, spécifiez le nom de destination et le chemin d'accès du fichier PFX à exporter, puis sélectionnez Suivant.

  9. Dans l'assistant d'exportation de certificats, cliquez sur Terminer.

Exporter la chaîne d'émetteur vers les ordinateurs clients

Pour que LDAPS fonctionne, tous les ordinateurs clients doivent approuver l'émetteur du certificat LDAP. Pour une autorité de certification publique connue, les ordinateurs clients peuvent déjà faire confiance à la chaîne d'émetteur. Si la chaîne n'est pas approuvée, procédez comme suit pour exporter la chaîne d'émetteur.

  1. Sous Windows, dans la console de gestion Microsoft (MMC), accédez à vos certificats.

  2. Développez Certificats d'ordinateur local, puis accédez à Certificats > personnels. Double-cliquez sur le certificat LDAP.

  3. Sur la page Certificat, sélectionnez l'onglet Chemin de certification.

  4. Dans l'onglet Chemin de certification, sélectionnez le certificat racine du chemin.

  5. Cliquez sur Afficher le certificat, puis sélectionnez l'onglet Détails.

  6. Dans l'onglet Details (Détails), sélectionnez Copy to File... (Copier dans un fichier).

  7. Dans l'Assistant d'exportation de certificats, sélectionnez Encoder X.509, puis cliquez sur Suivant.

  8. Sélectionnez le nom de fichier et l'emplacement de la chaîne de certificats, puis cliquez sur Terminer.

  9. Pour copier le certificat sur la machine cliente qui établit la connexion LDAP, utilisez l'assistant d'importation de certificats pour importer le certificat dans la boutique "Machine locale". Vous pouvez également distribuer la chaîne de certificats des autorités émettrices aux machines clientes. Sous Windows, vous pouvez utiliser la stratégie de groupe.

Activer LDAPS sur un domaine Microsoft AD géré

Pour activer le protocole LDAPS sur votre domaine Microsoft AD géré, procédez comme suit :

  1. Assurez-vous que l'autorisation managedidentities.domains.updateLDAPSSettings est associée à votre compte. Vous pouvez accorder cette autorisation individuellement, ou le rôle IAM roles/managedidentities.admin ou roles/managedidentities.domainAdmin. Découvrez les rôles IAM gérés pour Microsoft AD.

  2. Procédez comme suit :

    Console

    1. Accédez à la page Services Microsoft AD gérés dans Cloud Console.
      Accéder à la page Service Microsoft AD géré
    2. Sur la page Microsoft AD géré, dans la liste des instances, sélectionnez le domaine pour lequel vous souhaitez activer LDAPS.
    3. Sur la page des détails du domaine, sous LDAPS, sélectionnez Configurer LDAPS.
    4. Dans le volet Configure LDAPS (Configurer LDAPS), indiquez l'emplacement du fichier PFX et le mot de passe que vous avez créé lors de l'exportation du certificat au format PKCS #12. puis sélectionnez Configure LDAPS (Configurer LDAPS).

    gcloud

    Exécutez la commande d'outil gcloud suivante :

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
        --certificate-pfx-file=PFX_FILENAME \
        --certificate-password=PASSWORD
    

Vérifier LDAPS

Vous pouvez vérifier que LDAPS est activé en effectuant une liaison LDAPS. Ce processus utilise le mode LDD.exe, qui est l'un des outils RSAT que vous installez lorsque vous associez la VM au domaine.

Sur une VM Windows Google Cloud jointe à un domaine, procédez comme suit dans PowerShell.

  1. Dans PowerShell, démarrez LDD.exe, puis accédez à Connexion > Connect (Connexion).

  2. Dans la boîte de dialogue Se connecter, procédez comme suit :

    1. Définissez Server (Serveur) sur le nom de votre domaine.
    2. Définissez le paramètre Port sur 636.
    3. Sélectionnez SSL.
    4. Cliquez sur OK.

    Si LDAPS est correctement activé, la connexion réussit.

Surveiller un certificat

Vous pouvez afficher la valeur TTL (Time to Live) d'une chaîne de certificats dans Cloud Monitoring. La métrique cert_ttl indique le nombre de jours valides restants pour le certificat de la chaîne avec l'expiration la plus ancienne.

Pour afficher les métriques d'une ressource surveillée à l'aide de l'explorateur de métriques, procédez comme suit:

  1. Dans Google Cloud Console, accédez à la page Monitoring.

    Accéder à Monitoring

  2. Dans le volet de navigation "Surveillance", cliquez sur  Explorateur de métriques.
  3. Sélectionnez l'onglet Configuration, puis saisissez ou sélectionnez un type de ressource et une Métrique. Remplissez les champs ci-dessous :
    1. Pour le champ Ressource, sélectionnez ou saisissez Microsoft Active Directory Domain.
    2. Dans le champ Métrique, sélectionnez une valeur dans le menu ou saisissez LDAPS Certificate TTL.
  4. (Facultatif) Pour configurer la façon dont les données sont affichées, utilisez les menus Filtrer, Grouper par et Aggregator. Par exemple, vous pouvez grouper les données par libellé de ressource ou de métrique. Pour plus d'informations, consultez la page Sélectionner des métriques.

Vous pouvez également utiliser l'éditeur de requête pour rechercher ces métriques.

  1. Dans l'onglet Metric (Métrique), sélectionnez Query Editor (Éditeur de requête).

  2. Dans le champ de texte de l'éditeur de requête, saisissez la requête MQL suivante, puis sélectionnez Exécuter la requête.

    fetch microsoft_ad_domain
    | metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
    | group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
    | every 1m
    | group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]
    

Désactiver LDAPS

Pour désactiver LDAPS, procédez comme suit. Notez que pour réactiver LDAPS, vous devez réimporter les certificats.

Console

  1. Accédez à la page Services Microsoft AD gérés dans Cloud Console.
    Accéder à la page Service Microsoft AD géré
  2. Sur la page Microsoft AD gérée, dans la liste des instances, sélectionnez le domaine pour lequel vous souhaitez désactiver un certificat.
  3. Sur la page des détails du domaine, sous LDAPS, sélectionnez le certificat, puis cliquez sur Désactiver.

gcloud

Exécutez la commande d'outil gcloud suivante.

gcloud active-directory domains update-ldaps-settings DOMAIN \
     --clear-ldaps-certificate