Activer LDAPS

Cette page explique comment activer LDAP sur SSL/TLS (LDAPS) pour le service géré pour Microsoft Active Directory (service Microsoft AD géré) pour rendre votre trafic LDAP confidentiel et sécurisé. Par par défaut, la communication entre le service Microsoft AD géré applications ne sont pas chiffrées pour de simples liaisons LDAP.

Pour activer LDAPS, vous devez disposer d'un certificat. Cette page décrit également les les spécifications du certificat requis et comment le vérifier et le surveiller.

Demander un certificat

Vous pouvez demander un certificat à Public Certificate Authority (CA), à une autorité de certification d’entreprise, Certificate Authority Service de Google Cloud ou utilisez un certificat autosigné. Si vous utilisez un certificat autosigné, suivez le documentation Microsoft liée aux commandes PowerShell dans .

Vous pouvez créer un certificat autosigné avec l'New-SelfSignedCertificate sous Windows, OpenSSL ou MakeCert.

Exigences relatives aux certificats

Votre certificat doit répondre aux exigences suivantes:

  • Le tableau suivant présente les exigences à respecter pour créer un certificat autosigné et répertorie les paramètres associés utilisés dans la New-SelfSignedCertificate de commande. Notez que les noms des paramètres ou des champs peuvent varier en fonction de la manière dont vous créez le certificat.
Paramètre Description
Subject (nom de l'objet) Il doit s'agir du nom préfixé par un caractère générique de votre domaine Microsoft AD géré pour vous assurer que le service reste disponible lors d'une mise à niveau ou d'une restauration. En effet, les contrôleurs de domaine utilisent qui changent au cours d'un processus de mise à niveau ou de restauration. Par exemple, si le nom de domaine est ad.mycompany.com, le nom de l'objet doit être CN=*.ad.mycompany.com
DnsName (nom DNS ou autre nom d'objet) Il ne doit inclure que les éléments suivants:
  • Nom générique de votre domaine Microsoft AD géré
  • Nom de domaine Microsoft AD géré
    • Par exemple : "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"
    KeySpec Il doit être défini sur 1, ce qui indique qu'il peut être utilisé pour à la fois pour la signature numérique et l’échange de clés.
    KeyLength La taille minimale de la clé dépend de l'algorithme cryptographique.
  • RSA:au moins 2 048 bits
  • ECDSA:au moins 256 bits
  • ED25519:512 bits (longueur fixe)
    		•
    KeyUsage Doit inclure les "signatures numériques" et les "chiffrements de clés".
    TextExtension ou EnhancedKeyUsageExtension Il doit contenir OID=1.3.6.1.5.5.7.3.1 pour l'authentification du serveur.
    NotBefore Heure à partir de laquelle le certificat est valide. Le certificat doit être valide lors de l'activation de LDAPS.
    NotAfter Passé ce délai, le certificat n'est plus valide. La le certificat doit être valide lors de l'activation de LDAPS.
    KeyAlgorithm (algorithme de signature) Les algorithmes de signature faibles tels que SHA-1, MD2 et MD5 non pris en charge.

    • Chaîne d'émission : l'intégralité de la chaîne de certificats doit être importée et valide. La chaîne doit être linéaire et ne peut pas comporter plusieurs chaînes.

    • Format du certificat:il doit respecter le format Public-Key Cryptography. Normes PKCS n° 12. Vous devez utiliser un fichier PFX.

    Demande provenant d'Public CA ou d'entreprise

    Pour demander un certificat auprès d’Public CA ou d’une AC d’entreprise, suivez ces étapes.

    Acceptez le certificat sur la même VM que celle où la requête est générée.

    Exporter le certificat au format PKCS #12

    Pour exporter le certificat au format PKCS #12 (en tant que fichier PFX), complétez le en suivant les étapes ci-dessous:

    1. Sous Windows, accédez à vos certificats dans le dossier Microsoft Management Console (MMC).

    2. Développez Certificats d'ordinateur local et accédez à Personnel > Certificats.

    3. Effectuez un clic droit sur le certificat que vous avez créé pour activer LDAPS, puis sélectionnez Toutes les tâches > Exporter.

    4. Dans la boîte de dialogue Assistant d'exportation de certificats qui s'affiche, cliquez sur Suivant.

    5. Sur la page Export Private Key (Exporter la clé privée), sélectionnez Yes (Oui) pour exporter la clé privée. .

    6. Sur la page Export File Format (Exporter le format de fichier), sélectionnez Personal Information Exchange - PKCS #12 (.PFX) et Inclure tous les certificats dans le parcours de certification si possible. Cliquez sur Suivant.

    7. Sur la page Sécurité, cochez la case Mot de passe et saisissez un mot de passe sécurisé. mot de passe pour protéger le certificat. Cliquez sur Next (Suivant). Ce mot de passe est obligatoire lors de la configuration de LDAPS sur votre domaine Microsoft AD géré.

    8. Sur la page Fichier à exporter, saisissez le nom et le chemin d'accès de la destination du fichier PFX à exporter. Cliquez sur Suivant.

    9. Cliquez sur Terminer.

    Pour exporter un certificat autosigné avec la clé privée au format PKCS #12 en tant que fichier PFX, utilisez la fonction Export-PfxCertificate commande et pour exporter le certificat autosigné sous forme de fichier PEM, utilisez Export-Certificate .

    Distribuer la chaîne de l'émetteur aux ordinateurs clients

    Pour que LDAPS fonctionne, tous les ordinateurs clients doivent approuver l'émetteur du certificat LDAPS. Pour une autorité de certification publique connue, les ordinateurs clients peuvent déjà faire confiance à la chaîne de l'émetteur. Si la chaîne n'est pas approuvée, procédez comme suit pour exporter la chaîne de l'émetteur :

    1. Sous Windows, accédez à vos certificats dans le dossier Microsoft Management Console (MMC).

    2. Développez Certificats d'ordinateur local et accédez à Personnel > Certificats. Double-cliquez sur le certificat LDAPS.

    3. Dans la fenêtre Certificat, cliquez sur l'onglet Chemin de certification.

    4. Dans l'onglet Chemin de certification, sélectionnez le certificat racine du chemin.

    5. Cliquez sur Afficher le certificat.

    6. Cliquez sur l'onglet Détails, puis sur Copier dans un fichier.

    7. Dans la boîte de dialogue Assistant Exportation de certificats qui s'affiche, sélectionnez Base-64 X.509 encodé au format X.509, puis cliquez sur Suivant.

    8. Sélectionnez le nom de fichier et l'emplacement de la chaîne de certificats, puis cliquez sur Terminer :

    9. Pour copier le certificat sur l'ordinateur client qui établit la connexion LDAPS, utilisez la boîte de dialogue Assistant d'importation de certificats pour importer le certificat dans le magasin "Ordinateur local". Vous pouvez également distribuer la chaîne de certificats des autorités émettrices aux ordinateurs clients à l'aide de la stratégie de groupe sous Windows.

    Pour importer un certificat autosigné dans le magasin racine de confiance de machine, utilisez la fonction Import-Certificate de commande.

    Activer LDAPS sur un domaine Microsoft AD géré

    Avant d'activer LDAPS sur votre domaine Microsoft AD géré, procédez comme suit:

    1. Assurez-vous de disposer de l'un des rôles IAM suivants :

      • Administrateur Google Cloud Managed Identities (roles/managedidentities.admin)
      • Administrateur de domaine Google Cloud Managed Identities (roles/managedidentities.domainAdmin)

      Pour en savoir plus sur les rôles IAM gérés pour Microsoft AD, consultez la page Contrôle des accès.

    Pour activer LDAPS sur votre domaine Microsoft AD géré, procédez comme suit :

    Console

    1. Dans la console Google Cloud, accédez au service Microsoft AD géré. .
      Accéder au service Microsoft AD géré
    2. Sur la page Domains (Domaines), sélectionnez un domaine dans la liste des instances pour activer LDAPS.
    3. Dans la section LDAPS de la page Domain details (Détails du domaine), cliquez sur Configurez LDAPS.
    4. Dans le volet Configure LDAPS (Configurer LDAPS), saisissez l'emplacement du fichier PFX. le mot de passe que vous avez utilisé pour exporter le certificat dans PKCS #12 format, et puis cliquez sur Configurer LDAPS.

    gcloud

    Exécutez la commande de gcloud CLI suivante :

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --certificate-pfx-file=PFX_FILENAME \
    --certificate-password=PASSWORD

    Remplacez les éléments suivants :

    • DOMAIN_NAME: ressource complète nom de votre domaine Microsoft AD géré domaine. Format du nom de ressource complet: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME
    • PFX_FILENAME: fichier PFX au format PKCS #12 qui spécifie la chaîne de certificats utilisée pour configurer LDAPS.
    • PASSWORD: mot de passe utilisé pour chiffrer la clé PKCS #12 certificat. Si vous ne spécifiez pas le mot de passe, il vous invite à le saisir lorsque vous exécutez la commande.

    Cette opération peut prendre jusqu'à 20 minutes. Pour mettre à jour le certificat, répétez ces étapes avec le fichier PFX mis à jour.

    Valider LDAPS

    Vous pouvez vérifier que LDAPS est activé en effectuant une liaison LDAPS. Ce processus utilise LDP.exe, qui est l'une des valeurs RSAT outils que vous installez lorsque vous associez une VM à un domaine.

    Sur une VM Windows Google Cloud associée à un domaine, procédez comme suit dans PowerShell:

    1. Dans PowerShell, démarrez LDP.exe, puis accédez à Connection > Connect (Connexion > Se connecter).

    2. Dans la boîte de dialogue Connecter, procédez comme suit:

      1. Dans le champ Server (Serveur), saisissez votre nom de domaine.
      2. Dans le champ Port, saisissez 636.
      3. Cochez la case SSL.
      4. Cliquez sur OK.

      Si LDAPS est correctement activé, la connexion aboutit.

    Surveiller un certificat

    Vous pouvez afficher la valeur TTL (Time To Live) d'une chaîne de certificats dans Cloud Monitoring. La métrique cert_ttl indique le nombre de jours valides pour le certificat de la chaîne avec la date d'expiration la plus ancienne.

    Console

    Pour afficher les métriques d'une ressource surveillée à l'aide de l'explorateur de métriques, procédez comme suit :

    1. Dans la console Google Cloud, accédez à la page Explorateur de métriques :

      Accéder à l'explorateur de métriques

      Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.

    2. Dans l'élément Métrique, développez le menu Sélectionner une métrique, saisissez LDAPS Certificate TTL dans la barre de filtre, puis utilisez les sous-menus pour sélectionner un type de ressource et des métriques spécifiques :
      1. Dans le menu Ressources actives, sélectionnez Domaine Microsoft Active Directory.
      2. Dans le menu Catégories de métriques actives, sélectionnez Microsoft_ad.
      3. Dans le menu Active Metrics (Métriques actives), sélectionnez LDAPS Certificate TTL (Valeur TTL du certificat LDAPS).
      4. Cliquez sur Appliquer.

    3. Pour supprimer des séries temporelles de l'affichage, utilisez l'élément Filtre.

    4. Pour combiner des séries temporelles, utilisez les menus de l'élément Agrégation. Par exemple, pour afficher l'utilisation du processeur pour vos VM en fonction de leur zone, définissez le premier menu sur Moyenne et le second sur zone.

      Toutes les séries temporelles sont affichées lorsque le premier menu de l'élément Agrégation est défini sur Non agrégé. Les paramètres par défaut de l'élément Aggregation (Agrégation) sont déterminés par le type de métrique que vous avez sélectionné.

    5. Pour le quota et les autres métriques qui indiquent un échantillon par jour, procédez comme suit :
      1. Dans le volet Affichage, définissez le type de widget sur Graphique à barres empilées.
      2. Définissez la période sur au moins une semaine.

    Vous pouvez également cliquer sur Surveillance dans la section LDAPS de la page Domaine Détails pour accéder à l'Explorateur de métriques.

    Vous pouvez également utiliser l'éditeur de requête pour trouver ces métriques.

    1. Dans l'onglet Métrique, sélectionnez Éditeur de requête.

    2. Dans le champ de texte de l'éditeur de requête, saisissez la requête MQL suivante. et sélectionnez Exécuter la requête.

    fetch microsoft_ad_domain
| metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
| group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
| every 1m
| group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]

    Désactiver LDAPS

    Pour désactiver LDAPS, procédez comme suit:

    Console

    1. Dans la console Google Cloud, accédez à la page Service Microsoft AD géré.
      Accéder au service Microsoft AD géré
    2. Sur la page Domaines, sélectionnez le domaine dans la liste des instances. pour lequel vous souhaitez désactiver le certificat.
    3. Dans la section LDAPS de la page Domain details (Détails du domaine), cliquez sur Désactiver.

    gcloud

    Exécutez la commande de gcloud CLI suivante :

    gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
    --clear-ldaps-certificate

    Remplacez DOMAIN_NAME par la ressource complète. nom de votre domaine Microsoft AD géré domaine. Format du nom de ressource complet: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME

    Cette opération peut prendre jusqu'à 20 minutes. Pour réactiver LDAPS, vous devez vous devez les réimporter.

    Étape suivante