Povolení v systému Windows Server 2008 podepisování LDAP

Překlady článku Překlady článku
ID článku: 935834 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

RYCHLÉ PUBLIKOVÁNÍ

RYCHLÉ PUBLIKOVÁNÍ ČLÁNKY POSKYTUJÍ INFORMACE V REAKCI NA NOVĚ VZNIKAJÍCÍCH NEBO JEDINEČNÝCH TÉMAT A MŮŽE BÝT AKTUALIZOVÁNO JAKO NOVÉ INFORMACE K DISPOZICI.

ÚVOD

Zabezpečení na Adresářový server může být významně zlepšeno tím, že nakonfigurujete server odmítnout Simple ověřování a Security Layer (SASL) Vazeb LDAP, který nebude vyžadovat podepisování (ověření integrity) nebo odmítnout LDAP jednoduché váže, které jsou prováděny na prostý text (non-SSL/TLS šifrování) připojení. SASLs může obsahovat protokoly, jako například záhlaví Negotiate Kerberos, NTLM a protokoly ověřování algoritmem Digest.

Nepodepsaný síťový provoz je zranitelný k útokům opakováním ve kterém zachycuje neoprávněný pokus o ověření a potížeance lístku. Neoprávněným uživatelem lze znovu použít lístek vydávat za legitimní uživatel. AdditionAlly, Nepodepsaný síťový provoz je náchylný k útoku man-in-the-middle ve kterém zachytává neoprávněná osoba pakety mezi klientem a serverem, změní pakety a pak je posílá na server. Pokud tento dochází na serveru LDAP, útočník lze způsobit, že server pro rozhodování, které jsou založeny na falešný požadavků klienta LDAP.

Tento článek popisuje, jak nakonfigurovat váš adresářový server proti takovým útokům.

Další informace

Způsob zjištění klientů, kteří nepoužívají "Require podpisu" možnost

Klienti, spoléhat na nepodepsané SASL (vyjednat, Kerberos, NTLM nebo ověřování algoritmem Digest) vytvoří vazbu protokolu LDAP nebo v protokolu LDAP naváže připojení než SSL/TLS přestat fungovat Po provedení Tato změna konfigurace. Chcete-li pomoci identifikovat Tito klienti, adresářového serveru protokols Souhrn událostí . 2887 jednou za 24 hodin označíte, kolik takové vazby došlo k. Doporučujeme, aby jste Konfigurace theKlienti se nepoužívat tyto vazby. Po žádné takové události jsou pozorovány po delší dobu, doporučujeme nakonfigurovat server odmítnout takové vazby.

Pokud potřebujete další informace k identifikaci těchto klientů, můžete nakonfigurovat adresářového serveru poskytnout podrobnější protokols. Další protokolování bude protokolovat událost . 2889 Pokud klient pokusí provést nepodepsané vazba serveru LDAP. Protokolování zobrazenís na Adresa IP klienta a identitu, kterou se klient pokusil pomocí ověření. Další protokolování můžete povolit nastavením Události rozhraní LDAP diagnostické nastavení 2 (Basic). Další informace o tom, jak změnit nastavení diagnostiky naleznete na následujícím webu společnosti Microsoft:
http://go.microsoft.com/?linkid=9645087
Adresářový server je nakonfigurován odmítnout nepodepsaných LDAP SASL váže nebo vytvoří vazbu protokolu LDAP přes připojení než SSL/TLS, adresářového serveru bude protokolovat Souhrn událostí 2888 jednou za 24 hodin, kdy takové pokusy navázat dojít.

Konfigurace adresáře tak, aby vyžadovat podpisy LDAP server

Pomocí Zásady skupiny

Jak nastavit server požadavek na podepisování LDAP
  1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit, typ MMC.exea potom klepněte na tlačítko OK.
  2. Na Soubor nabídky, klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
  3. V Přidat nebo odebrat moduly Snap in Dialogové okno, klepněte na tlačítko Editor pro správu Zásady skupinya potom klepněte na tlačítko Přidat.
  4. V Vyberte Zásady skupiny objekt Dialogové okno, klepněte na tlačítko Procházet.
  5. V Vyhledat objekt Zásady skupiny Dialogové okno, klepněte na tlačítko Výchozí zásady domény ve skupinovém rámečku Domény, organizační jednotky a propojené objekty Zásady skupiny oblast a potom klepněte na tlačítko OK.
  6. Klepněte na tlačítko Dokončit.
  7. Klepněte na tlačítko OK.
  8. Rozbalte položku Výchozí zásady řadiče domény, rozbalte položku Konfigurace počítače, rozbalte položku Zásady, rozbalte položku Nastavení systému Windows, rozbalte položku Nastavení zabezpečení, rozbalte položku Místní zásadya potom klepněte na tlačítko Možnosti zabezpečení.
  9. Klepněte pravým tlačítkem myši Řadič domény: Požadavky podepisování serveru LDAPa potom klepněte na tlačítko Vlastnosti.
  10. V Řadič domény: požadavky vlastnosti podepisování serveru LDAP Dialogové okno, povolení Definovat toto nastavení zásad, Klepnutím vyberte Požaduje podepsání v Definovat toto nastavení zásad rozevírací seznam a potom klepněte na tlačítko OK.
  11. V Potvrdit změnu nastavení Dialogové okno, klepněte na tlačítko Ano.
Jak nastavit klient požadavek na podepisování LDAP pomocí zásad místního počítače
  1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit, typ MMC.exea potom klepněte na tlačítko OK.
  2. Na Soubor nabídky, klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
  3. V Přidat nebo odebrat moduly Snap in Dialogové okno, klepněte na tlačítko Modul snap-in Editor objektů Zásady skupiny, a pak Klepněte na tlačítko Přidat.
  4. Klepněte na tlačítko Dokončit.
  5. Klepněte na tlačítko OK.
  6. Rozbalte položku Zásady místního počítače, rozbalte položku Konfigurace počítače, rozbalte položku Zásady, rozbalte položku Nastavení systému Windows, rozbalte položku Nastavení zabezpečení, rozbalte položku Místní zásadya potom klepněte na tlačítko Možnosti zabezpečení.
  7. Klepněte pravým tlačítkem myši Zabezpečení sítě: Požadavky podepisování klienta LDAPa potom klepněte na tlačítko Vlastnosti.
  8. V Zabezpečení sítě: požadavky vlastnosti podepisování klienta LDAP Dialogové okno, Klepnutím vyberte Požaduje podepsání v rozevíracím seznamu a klepněte na tlačítko OK.
  9. V Potvrdit změnu nastavení Dialogové okno, klepněte na tlačítko Ano.
Jak nastavit klient požadavek na podepisování LDAP pomocí objektu Zásady skupiny domény
  1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit, typ MMC.exea potom klepněte na tlačítko OK.
  2. Na Soubor nabídky, klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
  3. V Přidat nebo odebrat moduly Snap in Dialogové okno, klepněte na tlačítko Modul snap-in Editor objektů Zásady skupinya potom klepněte na tlačítko Přidat.
  4. Klepněte na tlačítko Procházeta potom vyberte Výchozí zásady domény (nebo objekt Zásady skupiny, pro který chcete povolit podepisování klienta LDAP).
  5. Klepněte na tlačítko OK.
  6. Klepněte na tlačítko Dokončit.
  7. Klepněte na tlačítko Zavřít.
  8. Klepněte na tlačítko OK.
  9. Rozbalte položku Výchozí zásady domény, rozbalte položku Konfigurace počítače, rozbalte položku Nastavení systému Windows, rozbalte položku Nastavení zabezpečení, rozbalte položku Místní zásadya potom klepněte na tlačítko Možnosti zabezpečení.
  10. V Zabezpečení sítě: požadavky vlastnosti podepisování klienta LDAP Dialogové okno, klepnutím vyberte Požaduje podepsání v rozevíracím seznamu a klepněte na tlačítko OK.
  11. V Potvrdit změnu nastavení Dialogové okno, klepněte na tlačítko Ano.
Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:
823659Klienta, služby nebo programu nekompatibility, které mohou nastat při úpravě nastavení zabezpečení a přiřazení uživatelských práv

Použití klíče registru

Chcete-li změnit klíče registru, přejděte "Automatická oprava$$$$ Pokud chcete změnit klíče registru sami, přejděte "Chtěl bych si to opravit sám$$$$

Automatická oprava

Chcete-li tento problém vyřešit automaticky, klepněte Automatická oprava tlačítko nebo odkaz, klepněte na tlačítko Spustit v Stahování souboru Dialogové okno pole a potom postupujte podle pokynů v opravě průvodci.
Opravit tento problém
Microsoft Fix it 50518
Poznámky
  • Tento průvodce může být jen v angličtině. Automatická oprava však také funguje pro ostatní jazykové verze systému Windows.
  • Pokud nepoužíváte počítač, který má problém, uložit oprava je řešení na jednotku USB flash nebo disku CD a spusťte jej v počítači, který má potíže.
Potom pokračujte "Byly potíže vyřešeny?$$$$

Chtěl bych si to opravit sám

Důležité Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru však mohou nastat závažné problémy. Proto postupujte přesně podle následujících kroků. Pro zvýšení ochrany proveďte před úpravami zálohu registru. Pokud pak dojde k potížím, budete moci registr obnovit. Další informace o zálohování a obnovení registru získáte v článku znalostní báze Microsoft Knowledge Base:
322756 Postup zálohování a obnovení registru v systému Windows
  1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit, typ regedita potom klepněte na tlačítko OK.
  2. Vyhledejte a vyberte následující podklíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Klepněte pravým tlačítkem myši LDAPServerIntegrity klíče klíč registru a klepněte na tlačítko Upravit.
  4. Změna Údaj hodnoty Chcete-li 2a potom klepněte na tlačítko OK.
  5. Vyhledejte a vyberte následující podklíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Klepněte pravým tlačítkem myši ldapclientintegrity klíč registru a klepněte na tlačítko Upravit.
  7. Změnit Údaj hodnoty Chcete-li 2a potom klepněte na tlačítko OK.
Ve výchozím nastavení pro Active Directory Lightweight Directory Services (AD LDS) klíč registru není k dispozici. Proto, ymusíte vytvořit organizační jednotku na LDAPServerIntegrity klíče registru Položka typu REG_DWORD ve skupinovém rámečku následující podklíč registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters
Poznámka: Zástupný symbol <InstanceName>představuje název služby AD LDS instanci, ve které<b00> </b00> </InstanceName>Chcete změnit.

Jak ověřit změny konfigurace

  1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit, typ Ldp.exea potom klepněte na tlačítko OK.
  2. Ve skupinovém rámečku Připojení nabídky, klepněte na tlačítko Připojení.
  3. V Server pole a Port pole, zadejte název serveru a non-SSL/TLS port adresářového serveru a potom klepněte na tlačítko OK.

    Poznámka:
    pro Active Directory řadiče domény, je použitelný port 389.
  4. Po vytvoření připojení vyberte Vazba na Připojení nabídka.
  5. Ve skupinovém rámečku Typ vazby, vyberte Jednoduchá vazba.
  6. Zadejte uživatelské jméno a heslo a potom klepněte na tlačítko OK.
Pokud se zobrazí následující chybová zpráva, úspěšně nakonfigurován adresářový server:
Ldap_simple_bind_s() se nezdařilo: požadováno silné ověřování

Byly potíže vyřešeny?

  • Zkontrolujte, zda byl problém vyřešen. Pokud je problém vyřešen, jste hotovi s tímto oddílem. Pokud potíže přetrvávají, můžete Obraťte se na podporu.
  • Uvítáme vaše názory. Sdělit svůj názor nebo nahlásit potíže s tímto řešením komentář na "Automatická oprava"blogu nebo nám odešlete e-mailové zprávy.

ZŘEKNUTÍ SE PRÁV

SPOLEČNOST MICROSOFT NEBO JEJÍCH DODAVATELŮ ODPOVÍDAJÍCÍCH SE NEVYJADŘUJÍ OHLEDNĚ VHODNOSTI INFORMACÍ OBSAŽENÝCH V DOKUMENTECH A SOUVISEJÍCÍ GRAFIKY PUBLIKOVANÉ NA TOMTO WEBU PRO JAKÝKOLI ÚČEL. DOKUMENTY A SOUVISEJÍCÍ GRAFIKY PUBLIKOVANÉ NA TOMTO WEBU MOHOU ZAHRNOVAT TECHNICKÉ NEPŘESNOSTI NEBO TYPOGRAFICKÉ CHYBY. ZMĚNY SE PRAVIDELNĚ DOPLŇUJÍ INFORMACE ZDE UVEDENÉ. SPOLEČNOST MICROSOFT NEBO JEJÍCH DODAVATELŮ ODPOVÍDAJÍCÍCH MOHOU PROVÁDĚT VYLEPŠENÍ A/NEBO ZMĚNY V PRODUKTU (S) NEBO PROGRAM (S) POPSANÉ ZDE KDYKOLI.

Další informace o podmínkách použití naleznete na následujícím webu společnosti Microsoft:
http://support.microsoft.com/tou/

Vlastnosti

ID článku: 935834 - Poslední aktualizace: 7. června 2013 - Revize: 4.0
Informace v tomto článku jsou určeny pro produkt:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Klíčová slova: 
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme kbmt KB935834 KbMtcs
Strojově přeložený článek
DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.
Projděte si také anglickou verzi článku: 935834

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com