Как се разрешава LDAP подписване в Windows Server 2008

Преводи на статии Преводи на статии
ID на статията: 935834 - Преглед на продукти, за които се отнася тази статия.
Разгъване на всички | Сгъване на всички

На тази страница

БЪРЗО ПУБЛИКУВАНЕ


СТАТИИТЕ ОТ БЪРЗО ПУБЛИКУВАНЕ ПРЕДОСТАВЯТ ИНФОРМАЦИЯ В ОТГОВОР НА НОВОВЪЗНИКНАЛИ ИЛИ УНИКАЛНИ ТЕМИ И МОГАТ ДА БЪДАТ АКТУАЛИЗИРАНИ, КОГАТО СЕ ПОЯВИ НОВА ИНФОРМАЦИЯ.

ВЪВЕДЕНИЕ

Защитата на един справочен сървър може значително да се подобри, като се конфигурира сървърът така, че да отхвърля Simple Authentication and Security Layer (SASL)LDAP свързванията, които не изискват подписване (проверка на целостта), и обикновените LDAP свързвания, които се извършват по връзка с нешифрован текст (който не е шифрован чрез SSL/TLS). SASL включват протоколи като Negotiate, Kerberos, NTLM или Digest.

Неподписаният мрежов трафик е податлив на провеждането на атаки , при които нарушител пречи на опита за удостоверяване и на издаването на билет. Нарушителят може да използва повторно билета, за да се представи като легитимния потребител. Освен това неподписаният мрежов трафик е податлив на атаки на посредници , при които нарушителят прихваща пакети между клиента и сървъра, променя пакетите и след това ги препраща към сървъра. Ако това се случи на LDAP сървър, атакуващият може да стане причина сървърът да взема решения на базата на фалшифицирани заявки от LDAP клиента.

Тази статия описва начините за конфигуриране на вашия справочен сървър, така че да го защитите от подобни атаки.

ДОПЪЛНИТЕЛНА ИНФОРМАЦИЯ

Откриване на клиенти, които не използват опцията "Изисквай подписване"


Клиентите, които разчитат на неподписани SASL (Negotiate, Kerberos, NTLM или Digest) LDAP свързвания или на обикновени LDAP свързвания по нешифровани чрез SSL/TLSSSL/TLS връзки, спират да работят, след като направите тази промяна в конфигурацията. За да спомогне за идентифицирането на тези клиенти, справочният сървъррегистрира обобщено събитие 2887 веднъж на всеки 24 часа, за да покаже колко такива свързвания възникват. Препоръчваме ви да конфигурирате тезиклиенти така, че да не използват такива свързвания. След като за дълъг период не бъдат наблюдавани такива събития, препоръчваме да конфигурирате сървъра така, че да отхвърля такива свързвания.

Ако за идентифицирането на такива клиенти е необходима по-подробна информация, справочният сървър може да бъде конфигуриран така, че да предоставя по-подробни регистрационнифайлове. Това допълнително регистриране ще регистрира събитие 2889, когато даден клиент направи опит за неподписано LDAP свързване. При регистрирането се показваIP адреса на клиента и самоличността, която клиентът се е опитал да използва за удостоверяване. Това допълнително регистриране може да бъде разрешено, като се зададе 2 (Основно) за диагностичната настройка Събития в LDAP интерфейс. За повече информация относно начина за промяна на диагностичните настройки посетете следния уеб сайт на Microsoft:
http://go.microsoft.com/?linkid=9645087

Ако справочният сървър е конфигуриран да отхвърля неподписани SASL LDAP свързвания или обикновени LDAP свързвания по нешифрована чрез SSL/TLSSSL/TLS връзка, справочният сървър ще регистрира обобщено събитие 2888 веднъж на 24 часа, когато възникнат опити за такова свързване.

Конфигуриране на указателя да изисква подписване в LDAP сървъра

Използване на групово правило

Настройка на изискването за подписване в LDAP сървъра
  1. Щракнете върху Старт, щракнете върху Изпълнение, въведете mmc.exe и щракнете върху OK.
  2. В менюто Файл щракнете върху Добави/премахни конзолна добавка.
  3. В диалоговия прозорец Добавяне или премахване на конзолни добавки щракнете върху Редактор за управление на групови правила и върху Добави.
  4. В диалоговия прозорец Изберете обект с групови правила щракнете върху Преглед.
  5. В диалоговия прозорец Преглед за обект с групови правила щракнете върху Правило за домейн по подразбиране под областта Домейни, OU и свързани обекти с групови правила и след това щракнете върху OK.
  6. Щракнете върху Готово.
  7. Щракнете върху OK.
  8. Разгънете Правило за домейнов контролер по подразбиране, Компютърна конфигурация, Правила, Настройки на Windows, Настройки на защитата, Локални правила и след това щракнете върху Опции на защитата.
  9. Щракнете с десния бутон на мишката върху Домейнов контролер: изисквания за подписване в LDAP сървър и след това щракнете върху Свойства.
  10. В диалоговия прозорец Домейнов контролер: изисквания за подписване в LDAP сървър – Свойства разрешете Дефиниране на тази настройка за правило,, щракнете, за да изберете Изисквай подписване в падащия списък Дефиниране на тази настройка за правило, и след това щракнете върху OK.
  11. Щракнете върху Да в диалоговия прозорец Потвърждаване на промяната на настройката.
Настройка на изискването за подписване в LDAP клиент чрез правила на локалния компютър
  1. Щракнете върху Старт, щракнете върху Изпълнение, въведете mmc.exe и щракнете върху OK.
  2. В менюто Файл щракнете върху Добави/премахни конзолна добавка.
  3. В диалоговия прозорец Добавяне или премахване на конзолни добавки щракнете върху Редактор на обекти с групови правила и след това върху Добави.
  4. Щракнете върху Готово.
  5. Щракнете върху OK.
  6. Разгънете Правила на локалния компютър, Компютърна конфигурация, Правила, Настройки на Windows, Настройки на защитата, Локални правила и след това щракнете върху Опции на защитата.
  7. Щракнете с десния бутон на мишката върху Защита на мрежата: изисквания за подписване в LDAP клиент и след това щракнете върху Свойства.
  8. В диалоговия прозорец Защита на мрежата: изисквания за подписване в LDAP клиент – Свойстващракнете, за да изберете Изисквай подписване в падащия списък, и след това щракнете върху OK.
  9. Щракнете върху Да в диалоговия прозорец Потвърждаване на промяната на настройката.
Настройка на изискването за подписване в LDAP клиент чрез групово правило за домейна
  1. Щракнете върху Старт, щракнете върху Изпълнение, въведете mmc.exe и щракнете върху OK.
  2. В менюто Файл щракнете върху Добави/премахни конзолна добавка.
  3. В диалоговия прозорец Добавяне или премахване на конзолни добавки щракнете върху Редактор на обекти с групови правила и върху Добави.
  4. Щракнете върху Преглед..., изберете Правило за домейн по подразбиране (или груповото правило, с което искате да разрешите подписване в LDAP клиент)
  5. Щракнете върху OK.
  6. Щракнете върху Готово.
  7. Щракнете върху Затвори.
  8. Щракнете върху OK.
  9. Разгънете Правило за домейн по подразбиране, Компютърна конфигурация, Настройки на Windows, Настройки на защитата, Локални правила и след това щракнете върху Опции на защитата.
  10. В диалоговия прозорец Защита на мрежата: изисквания за подписване в LDAP клиент – Свойства щракнете, за да изберете Изисквай подписване в падащия списък, и след това щракнете върху OK.
  11. Щракнете върху Да в диалоговия прозорец Потвърждаване на промяната на настройката.


За повече информация щракнете върху следния номер на статия, за да прегледате статията в Базата знания на Microsoft:
823659 След модифициране на настройките за сигурност и присвояването на потребителски права е възможно да възникне несъвместимост между клиенти, услуги и програми

Използване на ключове от системния регистър

За да променим ключовете от системния регистър вместо вас, отидете на раздела "Решете моя проблем". Ако предпочитате да промените ключовете от системния регистър сами, отидете на раздела "Нека реша проблема сам".

Решете моя проблем



За да решите автоматично този проблем, щракнете върху бутона или връзката Fix it. Щракнете върху Изпълнение в диалоговия прозорец Изтегляне на файлове и следвайте стъпките в съветника "Fix it".


Решаване на проблема
Microsoft Fix it 50518


Забележки
  • Възможно е този съветник да е само на английски език. Автоматичната корекция обаче работи и за други езикови версии на Windows.
  • Ако не използвате проблемния компютър, можете да запишете решението "Fix it" на флаш устройство или компактдиск и след това да го изпълните на проблемния компютър.

След това отидете на раздела "Това реши ли проблема?".



Нека реша проблема сам

Важно Този раздел, метод или задача съдържа информация за модифициране на системния регистър. Имайте предвид, че при неправилна промяна на системния регистър е възможно да възникнат сериозни проблеми. Затова спазвайте внимателно тези стъпки. За допълнителна сигурност направете резервно копие на системния регистър, преди да го промените. В случай на възникване на проблем чрез това копие ще можете да възстановите системния регистър. За допълнителна информация как да направите резервно копие на системния регистър или да го възстановите щракнете върху следния номер на статия от Базата знания на Microsoft, за да я прегледате:
322756 Създаване на резервно копие и възстановяване на системния регистър в Windows
  1. Щракнете върху Старт, щракнете върху Изпълнение, въведете regedit и щракнете върху OK.
  2. Намерете и щракнете върху следния подключ в системния регистър:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Щракнете с десния бутон върху записа в системния регистър LDAPServerIntegrity, след което щракнете върху Modify (Модифицирай).
  4. Променете Value data (Данни за стойността) на 2 и след това щракнете върху OK.
  5. Намерете и щракнете върху следния подключ в системния регистър:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Щракнете с десния бутон върху записа в системния регистър ldapclientintegrity, след което щракнете върху Modify (Модифицирай).
  7. Променете Value data (Данни за стойността) на 2 и след това щракнете върху OK.

За олекотените справочни услуги в Active Directory (AD LDS) ключът от системния регистър не е наличен по подразбиране. Затова трябва да създадете запис LDAPServerIntegrity в системния регистър от тип REG_DWORD под следния подключ в системния регистър:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\instanceName\Parameters
ЗабележкаInstanceName е името на вашия екземпляр на AD LDS, който искате да промените.
Проверка на промените в конфигурацията
  1. Щракнете върху Старт, върху Изпълнение, въведете ldp.exe и щракнете върху OK.
  2. В менюто Connection (Връзка) щракнете върху Connect (Свържи).
  3. Въведете името на сървъра и нешифрован чрез SSL/TLS порт на вашия справочен сървър в полето Server (Сървър) и полето Port (Порт), след което изберете OK.
    Забележка За домейнов контролер на Active Directory приложимият порт е 389.
  4. След установяването на връзка изберете Bind (Свързване) под менюто Connection (Връзка).
  5. Под Bind type (Тип свързване) изберете Simple bind (Обикновено свързване).
  6. Въведете потребителското име и парола и след това щракнете върху OK.

Успешно сте конфигурирали вашия справочен сървър, ако се появява следното съобщение за грешка:
Неуспешно Ldap_simple_bind_s(): Необходимо е строго удостоверяване

Това реши ли проблема?

  • Проверете дали проблемът е решен. Ако е решен, не е необходимо да четете по-нататък в този раздел. Ако проблемът не е решен, може да се обърнете към поддръжката.
  • Ще ви бъдем признателни за предоставената от вас обратна информация. За да предоставите обратна информация или да съобщите за проблеми с това решение, добавете коментар в блога "Решете моя проблем" или ни изпратете имейл.

ОТКАЗ ОТ ОТГОВОРНОСТ


MICROSOFT И/ИЛИ СЪОТВЕТНИТЕ НЕГОВИ ДОСТАВЧИЦИ НЕ ПРАВЯТ НИКАКВИ ЗАЯВЛЕНИЯ ОТНОСНО ПРИГОДНОСТТА НА ИНФОРМАЦИЯТА, СЪДЪРЖАЩА СЕ В ДОКУМЕНТИТЕ И СВЪРЗАНИТЕ ГРАФИКИ, ПУБЛИКУВАНИ НА ТОЗИ УЕБ САЙТ, ЗА КАКВИТО И ДА Е ЦЕЛИ. ДОКУМЕНТИТЕ И СВЪРЗАНИТЕ ГРАФИКИ, ПУБЛИКУВАНИ НА ТОЗИ УЕБ САЙТ, МОГАТ ДА ВКЛЮЧВАТ ТЕХНИЧЕСКИ НЕТОЧНОСТИ ИЛИ ТИПОГРАФСКИ ГРЕШКИ. ПЕРИОДИЧНО СЕ ДОБАВЯТ ПРОМЕНИ КЪМ ИНФОРМАЦИЯТА В ТОЗИ САЙТ. MICROSOFT И/ИЛИ СЪОТВЕТНИТЕ НЕГОВИ ДОСТАВЧИЦИ МОГАТ ДА ИЗВЪРШВАТ ПОДОБРЕНИЯ И/ИЛИ ПРОМЕНИ В ПРОДУКТА(ИТЕ) И/ИЛИ ПРОГРАМАТА(ИТЕ), ОПИСАНИ ТУК, ПО ВСЯКО ВРЕМЕ.

За допълнителна информация относно условията за използване щракнете върху връзката по-долу:
http://support.microsoft.com/tou/
Note This is a "FAST PUBLISH" article created directly from within the Microsoft support organization. The information contained herein is provided as-is in response to emerging issues. As a result of the speed in making it available, the materials may include typographical errors and may be revised at any time without notice. See Terms of Use for other considerations.

Свойства

ID на статията: 935834 - Последна рецензия: 18 май 2011 г. - Редакция: 2.0
ВАЖИ ЗА:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Ключови думи: 
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme KB935834

Изпратете обратна информация

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com