Activer LDAPS

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Cette page explique comment activer LDAP sur SSL/TLS (LDAPS) pour le service géré pour Microsoft Active Directory (service Microsoft AD géré) afin de rendre votre trafic LDAP confidentiel et sécurisé. Par défaut, la communication entre le service géré Microsoft AD et les applications clientes n'est pas chiffrée pour les liaisons LDAP simples.

Pour activer LDAPS, vous devez disposer d'un certificat. Cette page décrit également les spécifications du certificat requis, et explique comment le vérifier et le surveiller.

Demander un certificat

Vous pouvez demander un certificat auprès d'Public Certificate Authority (CA), Google Cloud Certificate Authority Service ou utiliser un certificat autosigné. Vous pouvez créer un certificat autosigné avec la commande New-SelfSignedCertificate sous Windows, OpenSSL ou CreateCert.

Exigences relatives aux certificats

Votre certificat doit répondre aux exigences suivantes:

  • Nom de l'objet : il doit s'agir du nom avec préfixe du domaine Microsoft AD géré permettant de s'assurer que le service reste disponible lors d'une mise à niveau ou d'une restauration. En effet, les contrôleurs de domaine utilisent des noms aléatoires qui changent lors d'une mise à niveau ou d'une restauration. Par exemple, si le nom de domaine est ad.mycompany.com, le nom de l'objet doit être CN=*.ad.mycompany.com

  • Autre nom de l'objet (nom DNS ou SAN) : il ne doit inclure que les informations suivantes:

    • Nom générique de votre domaine Microsoft AD géré
    • Nom de domaine Microsoft AD géré.

    Par exemple : "CN=*.ad.mycompany.com","CN=.ad.mycompany.com"

  • KeySpec:il doit être défini sur "1", ce qui signifie qu'il peut être utilisé à la fois pour la signature numérique et l'échange de clés.

  • Longueur de la clé:la taille minimale de la clé dépend de l'algorithme de chiffrement.

    • Vendeur : 2 048 bits minimum
    • ECDSA : au moins 256 bits
    • ED25519 : 512 bits (longueur fixe)

  • KeyUsage:il doit inclure des "signatures numériques" et un "chiffrement de clé".

  • EnhancedKeyUsageExtension : l'authentification du serveur doit être définie sur OID=1.3.6.1.5.5.7.3.1.

  • NotBefore : heure à laquelle le certificat est valide. Le certificat doit être valide lors de l'activation de LDAPS.

  • NotAfter : délai après lequel le certificat n'est plus valide. Le certificat doit être valide lors de l'activation de LDAPS.

  • Chaîne émettrice:l'intégralité de la chaîne de certificats doit être importée et valide. La chaîne doit être linéaire et ne peut pas comporter plusieurs chaînes.

  • Algorithme de signature : les algorithmes de signature peu fiables tels que SHA-1, MD2 et MD5 ne sont pas acceptés.

  • Format du certificat : le format doit être conforme aux normes PKCS (Public-Key Cryptography Standards) n° 12. Vous devez utiliser un fichier PFX.

Demande émanant d'Public CA ou d'une autorité de certification d'entreprise

Pour demander un certificat à Public CA ou d'entreprise, suivez ces étapes.

Acceptez le certificat sur la VM où la requête est générée.

Exporter le certificat au format PKCS #12

Pour exporter le certificat au format PKCS #12 (sous forme de fichier PFX), procédez comme suit:

  1. Sous Windows, accédez à vos certificats dans la console de gestion Microsoft (MMC).

  2. Développez Certificats de l'ordinateur local et accédez à Personnel > Certificats.

  3. Effectuez un clic droit sur le certificat que vous avez créé pour activer LDAPS, puis sélectionnez Toutes les tâches > Exporter.

  4. Dans la boîte de dialogue Assistant d'exportation de certificat qui s'affiche, cliquez sur Suivant.

  5. Sur la page Exporter la clé privée, sélectionnez Oui pour exporter la clé privée.

  6. Sur la page Exporter le format de fichier, sélectionnez Échange d'informations personnelles - PKCS #12 (.PFX) et Inclure tous les certificats dans le chemin de certification si possible. Cliquez sur Suivant.

  7. Sur la page Sécurité, cochez la case Mot de passe, puis saisissez un mot de passe sécurisé pour protéger le certificat. Cliquez sur Next (Suivant). Ce mot de passe est requis lors de la configuration de LDAPS sur votre domaine Microsoft AD géré.

  8. Sur la page Fichier à exporter, saisissez le nom et le chemin d'accès de destination du fichier PFX à exporter. Cliquez sur Suivant.

  9. Cliquez sur Terminer.

Exporter la chaîne d'émetteurs vers les ordinateurs clients

Pour que LDAPS fonctionne, tous les ordinateurs clients doivent approuver l'émetteur du certificat LDAPS. Pour une autorité de certification publique connue, les ordinateurs clients peuvent déjà faire confiance à la chaîne de l'émetteur. Si la chaîne n'est pas approuvée, procédez comme suit pour exporter la chaîne d'émetteur:

  1. Sous Windows, accédez à vos certificats dans la console de gestion Microsoft (MMC).

  2. Développez Certificats de l'ordinateur local et accédez à Personnel > Certificats. Double-cliquez sur le certificat LDAPS.

  3. Dans la fenêtre Certificat, cliquez sur l'onglet Chemin de certification.

  4. Dans l'onglet Chemin de certification, sélectionnez le certificat racine du chemin.

  5. Cliquez sur Afficher le certificat.

  6. Cliquez sur l'onglet Détails, puis sur Copier dans un fichier.

  7. Dans la boîte de dialogue Certificate Export Wizard (Assistant d'exportation de certificat) qui s'affiche, sélectionnez Base-64 encoded X.509 et cliquez sur Next (Suivant).

  8. Sélectionnez le nom de fichier et l'emplacement de la chaîne de certificats, puis cliquez sur Terminer.

  9. Pour copier le certificat sur l'ordinateur client qui établit la connexion LDAPS, utilisez la boîte de dialogue Certificate Import Wizard (Assistant d'importation du certificat) pour importer le certificat dans le magasin "Local Machine" (Machine locale). Vous pouvez également distribuer la chaîne de certificats des autorités émettrices aux ordinateurs clients à l'aide de la stratégie de groupe sous Windows.

Activer LDAPS sur un domaine Microsoft AD géré

Avant d'activer LDAPS sur votre domaine Microsoft AD géré, procédez comme suit:

  1. Assurez-vous de disposer de l'un des rôles IAM suivants:

    • Administrateur Google Cloud Managed Identities (roles/managedidentities.admin)
    • Administrateur de domaine Google Cloud Managed Identities (roles/managedidentities.domainAdmin)

    Pour en savoir plus sur les rôles IAM gérés pour Microsoft AD, consultez Contrôle des accès.

Pour activer LDAPS sur votre domaine Microsoft AD géré, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Microsoft AD géré.
    Accéder au service Microsoft AD géré
  2. Sur la page Domains (Domaines), sélectionnez un domaine dans la liste des instances pour activer LDAPS.
  3. Dans la section LDAPS de la page Domain details (Détails du domaine), cliquez sur Configure LDAPS (Configurer LDAPS).
  4. Dans le volet Configurer LDAPS, saisissez l'emplacement du fichier PFX et le mot de passe que vous avez utilisé pour exporter le certificat au format PKCS#12, puis cliquez sur Configurer LDAPS.

gcloud

Exécutez la commande de gcloud CLI suivante :

 gcloud active-directory domains update-ldaps-settings DOMAIN_NAME 

      --certificate-pfx-file=PFX_FILENAME 

      --certificate-password=PASSWORD

Remplacez les éléments suivants :

  • DOMAIN_NAME: nom complet de la ressource de votre domaine Microsoft AD géré. Format du nom de ressource complet : projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.
  • PFX_FILENAME: fichier PFX au format PKCS #12 qui spécifie la chaîne de certificats utilisée pour configurer LDAPS.
  • PASSWORD: mot de passe utilisé pour chiffrer le certificat PKCS #12. Si vous ne spécifiez pas le mot de passe, il vous est demandé lors de l'exécution de la commande.

Cette opération peut prendre jusqu'à 20 minutes. Pour mettre à jour le certificat, répétez ces étapes avec le fichier PFX mis à jour.

Valider LDAPS

Vous pouvez vérifier que LDAPS est activé en effectuant une liaison LDAPS. Ce processus utilise LDP.exe, qui est l'un des outils RSAT que vous installez lorsque vous associez une VM à un domaine.

Sur une VM Google Cloud Windows jointe à un domaine, procédez comme suit dans PowerShell:

  1. Dans PowerShell, démarrez LDP.exe, puis accédez à Connexion > Connecter.

  2. Dans la boîte de dialogue Connecter, procédez comme suit:

    1. Dans le champ Server (Serveur), saisissez votre nom de domaine.
    2. Dans le champ Port, saisissez 636.
    3. Cochez la case SSL.
    4. Cliquez sur OK.

    Si LDAPS est correctement activé, la connexion aboutit.

Surveiller un certificat

Vous pouvez afficher la valeur TTL (Time To Live) d'une chaîne de certificats dans Cloud Monitoring. La métrique cert_ttl indique le nombre de jours valides pour le certificat de la chaîne avec la date d'expiration la plus ancienne.

Console

Pour afficher les métriques d'une ressource surveillée à l'aide de l'explorateur de métriques, procédez comme suit :

  1. Dans Google Cloud Console, accédez à la page Explorateur de métriques de Monitoring.

    2. Accéder à l'explorateur de métriques

  2. Accédez à l'onglet Configuration.
  3. Développez le menu Sélectionner une métrique, saisissez LDAPS Certificate TTL dans la barre de filtre, puis utilisez les sous-menus pour sélectionner un type de ressource et une métrique spécifiques :
    1. Dans le menu Ressources actives, sélectionnez Domaine Microsoft Active Directory.
    2. Dans le menu Catégories de métriques actives, sélectionnez Microsoft_ad.
    3. Dans le menu Métriques actives, sélectionnez Valeur TTL du certificat LDAP.
    4. Cliquez sur Appliquer.
  4. Facultatif : pour configurer l'affichage des données, ajoutez des filtres et utilisez les menus Grouper par, Agrégateur et type de graphique. Par exemple, vous pouvez grouper les données par libellé de ressource ou de métrique. Pour plus d'informations, consultez la section Sélectionner des métriques lors de l'utilisation de l'explorateur de métriques.
  5. Facultatif : modifiez les paramètres du graphique :
    • Pour le quota et les autres métriques qui indiquent un échantillon par jour, définissez la période sur au moins une semaine et définissez le type de tracé sur Graphique à barres empilées.
    • Pour les métriques à valeur de distribution, définissez le type de tracé sur Graphique de carte de densité.

Vous pouvez également cliquer sur Monitoring dans la section LDAPS (LDAPs) de la page Domain details (Détails du domaine) pour accéder à l'Explorateur de métriques.

Vous pouvez également trouver ces métriques à l'aide de l'éditeur de requête.

  1. Dans l'onglet Métrique, sélectionnez Éditeur de requête.

  2. Dans le champ de texte de l'éditeur de requête, saisissez la requête MQL suivante et sélectionnez Run Query (Exécuter la requête).

    fetch microsoft_ad_domain
| metric 'managedidentities.googleapis.com/microsoft_ad/domain/ldaps/cert_ttl'
| group_by 1m, [value_cert_ttl_mean: mean(value.cert_ttl)]
| every 1m
| group_by [resource.fqdn], [value_cert_ttl_mean_aggregate: aggregate(value_cert_ttl_mean)]

Désactiver LDAPS

Pour désactiver LDAPS, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Microsoft AD géré.
    Accéder au service Microsoft AD géré
  2. Sur la page Domaines, sélectionnez dans la liste les domaines pour lesquels vous souhaitez désactiver le certificat.
  3. Dans la section LDAPS (LDAPS) de la page Domain details (Détails du domaine), cliquez sur Disable (Désactiver).

gcloud

Exécutez la commande de gcloud CLI suivante :

gcloud active-directory domains update-ldaps-settings DOMAIN_NAME \
   --clear-ldaps-certificate

Remplacez DOMAIN_NAME par le nom complet de la ressource de votre domaine Microsoft AD géré. Format du nom de ressource complet: projects/PROJECT_ID/locations/global/domains/DOMAIN_NAME.

Cette opération peut prendre jusqu'à 20 minutes. Pour réactiver LDAPS, vous devez réimporter les certificats.