Como habilitar LDAP entrar no Windows Server 2008

PUBLICAÇÃO RÁPIDA

PUBLICAÇÃO RÁPIDA ARTIGOS FORNECEM INFORMAÇÕES EM RESPOSTA EMERGENTES OU TÓPICOS EXCLUSIVOS E PODE SER ATUALIZADA À MEDIDA QUE NOVAS INFORMAÇÕES ESTIVEREM DISPONÍVEIS.

A segurança doumservidor de diretório pode ser melhorado significativamente, configurando o servidor rejeitar SASL (camada de segurança) e de autenticação simplesVínculos LDAP que não solicitam a assinatura (verificação de integridade) e os vínculos simples LDAP são executados em uma conexão de texto não criptografado (não-SSL/TLS-criptografado).SASLs podem incluir os protocolos, como Negotiate, Kerberos, NTLM ou Digest.

O tráfego de rede não assinada é suscetível a ataques de repetiçãoem queum invasor intercepta a tentativa de autenticação e os problemasancede uma permissão. O invasor pode reutilizar a permissão para representar o usuário legítimo.UMdditionaliado, o tráfego de rede não assinada é suscetível a ataques man-in-the-middleem queum intruso captura pacotes entre o cliente e servidor, altera os pacotes e, em seguida, encaminha-os para o servidor.Se esteocorre em um servidor LDAP, um invasorpodefazer com que um servidor tomar decisões com base em forjado solicitações do cliente LDAP.

Este artigo descreve como configurar o servidor de diretório para protegê-lo contra esses ataques.

Descobrindo os clientes que não usamoRa assinatura equireopção

Os clientes quecontar com sem assinatura SASL (Negotiate, Kerberos, NTLM ou Digest) LDAP vincula ou liga de LDAP simples em uma conexão não-SSL/TLSparar de funcionarDepois de fazerEssa alteração de configuração. Para ajudá-loidentificarEsses clientes, o servidor de diretóriologsum evento de resumo2887uma vez a cada 24 horas para indicar quantas ligações desse tipo ocorreu.Recomendamos que vocêConfigurar theSe os clientes para não usar esses vínculos.Depois deNenhum evento desse tipo sejam observado por um período estendido, é recomendável que você configure o servidor rejeitar esses vínculos.

Se as informações mais detalhadas é necessária para identificar esses clientes, o servidor de diretório pode ser configurado para fornecer mais detalhado do logs. Este log adicional registrará um evento2889Quando um cliente tenta uma ligação LDAP não assinada. O registro em logExibirsoEndereço IP do cliente e a identidade do cliente tentouUse paraautenticar. Este log adicional pode ser ativada definindo oEventos de interface LDAPconfiguração de diagnóstico para 2 (Basic). Para obter mais informações sobre como alterar as definições de diagnóstico, visite o seguinte site da Microsoft:
http://go.microsoft.com/?linkid=9645087 (http://go.microsoft.com/?linkid=9645087)

Se o servidor de diretório está configurado rejeitar sem assinatura LDAP de SASL vincula ou LDAP simples é ligado através de uma conexão não-SSL/TLS, o servidor de diretório registrará um evento de resumo2888uma vez que cada 24hours, quando ocorrerem a essas tentativas de ligação.

Configurar o diretório para exigir a assinatura de servidor LDAP

Usando a diretiva de grupo

A definição a exigência de assinatura de LDAP do servidor

1. Clique emIniciar, clique emExecutar, tipoMMC. exee, em seguida, clique emOK.
2. Sobre oArquivomenu, clique emAdicionar/remover snap-in.
3. NaAdicionar ou remover snap-inscaixa de diálogo, clique emEditor de gerenciamento de diretiva de grupo, clique emAdicionar.
4. NaSelecionar GPOcaixa de diálogo, clique emProcurar.
5. NaProcurar por um objeto de diretiva de grupocaixa de diálogo, clique emDiretiva de domínio padrãosob aDomínios, OUs e objetos de diretiva de grupo vinculadosárea e clique emOK.
6. Clique emTerminar.
7. Clique emOK.
8. ExpandaDiretiva de controlador de domínio padrão, expandaConfiguração do computador, expandaDiretivas, expandaConfigurações do Windows, expandaConfigurações de segurança, expandaDiretivas locaise, em seguida, clique emOpções de segurança.
9. Com o botão direitoControlador de domínio: requisitos de assinatura de servidor LDAPe, em seguida, clique emPropriedades.
10. NaDomain controller: LDAP server signing requirements Propertiesdialog box, enableDefine this policy setting,click to selectRequire signingnaDefine this policy settingdrop-down list, and then clickOK.
11. Clique emSimnaConfirm Setting Changedialog box.

Setting of the client LDAP signing requirement

1. Clique emIniciar, clique emExecutar, tipommc.exee, em seguida, clique emOK.
2. Sobre oArquivomenu, clique emAdd/Remove Snap-in.
3. NaAdd or Remove Snap-inscaixa de diálogo, clique emGroup Policy Object Editor,and thenclickAdicionar.
4. Clique emFinish.
5. Clique emOK.
6. ExpandLocal Computer Policy, expandComputer Configuration, expandPolicies, expandWindows Settings, expandSecurity Settings, expandLocal Policiese, em seguida, clique emSecurity Options.
7. Com o botão direitoNetwork security: LDAP client signing requirementse, em seguida, clique emPropriedades.
8. NaNetwork security: LDAP client signing requirements Propertiesdialog box,click to selectRequire signingin the drop-down list, and then clickOK.
9. Clique emSimnaConfirm Setting Changedialog box.

Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Using Registry Keys

To have us change the registry keys for you, go to the "Corrigi-lo para mimseção". If you prefer to change the registry keys yourself, go to the "Deixe-me a corrigi-lo por mimseção".

Corrigi-lo para mim

Para corrigir o problema automaticamente, clique noCorrigi-lobotão ou link. Clique emExecutarnaDownload de arquivocaixa de diálogo caixa e siga as etapas de correção que o assistente.




Anotações

• This wizard may be in English only. However, the automatic fix also works for other language versions of Windows.
• If you are not using the computer that has the problem, save the Fix it solution to a flash drive or a CD and then run it on the computer that has the problem.

Then, go to the "Isso resolveu o problema?seção".

Deixe-me a corrigi-lo por mim

ImportanteNesta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, podem ocorrer problemas graves se modificar o Registro incorretamente. Portanto, certifique-se de que você execute essas etapas com cuidado. Para maior proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

1. Clique emIniciar, clique emExecutar, tipoRegedite, em seguida, clique emOK.
2. Localize e, em seguida, clique na seguinte subchave do registro:
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
3. Right-click theLDAPServerIntegrityregistry entry, and then clickModificar.
4. AlteraçãoDados de valorpara2e, em seguida, clique emOK.
5. Localize e, em seguida, clique na seguinte subchave do registro:
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
6. Com o botão direito doldapclientintegrityentrada de registro e depois clique emModificar.
7. Alterar oDados de valorpara2e, em seguida, clique emOK.

Para o Active Directory Lightweight Directory Services (AD LDS), a chave do registro não está disponível por padrão.Portanto,yCrie ouumRegistro LDAPServerIntegrityentradado tipo REG_DWORDema seguinte subchave do registro:
Observação:InstanceNameé o nome da sua instância AD LDSque você deseja alterar.
Verificar alterações de configuração

1. Clique emIniciar, clique emExecutar, tipoLDP. exee, em seguida, clique emOK.
2. Sob aConexãomenu, clique emConectar-se.
3. Digite o nome do servidor e a porta não-SSL/TLS do seu servidor de diretório deServidorcampo e oPortacampo e, em seguida, selecioneOK.
   Observação:Para um Active Directory Domain Controller, a porta aplicável é 389.
4. Depois de estabelecer uma conexão, selecioneLigarsob aConexãomenu.
5. EmTipo de ligação, selecioneLigação simples.
6. Digite o nome de usuário e senha e, em seguida, clique emOK.

Você configurou com êxito o servidor de diretório se você receber a seguinte mensagem de erro:

Isso resolveu o problema?

• Verifique se o problema seja corrigido. Se o problema seja corrigido, você terá concluído esta seção. Se o problema não for corrigido, você pode:entre em contato com o suporte (http://support.microsoft.com/contactus) .
• Apreciamos os seus comentários. Para fornecer comentários ou relatar os problemas com essa solução, deixe um comentário sobre o "Corrigi-lo para mim (http://blogs.technet.com/fixit4me/) "blog ou envie-em umemail (mailto:fixit4me@microsoft.com?Subject=KB) .

AVISO DE ISENÇÃO

MICROSOFT E/OU EM SUAS REPRESENTAÇÕES NÃO DE TORNAR RESPECTIVOS FORNECEDORES SOBRE A ADEQUAÇÃO DAS INFORMAÇÕES CONTINHAM EM DOCUMENTOS E GRÁFICOS RELACIONADOS PUBLICADOS NESTE SITE PARA QUALQUER FINALIDADE. OS DOCUMENTOS E GRÁFICOS RELACIONADOS PUBLICADOS NESTE SITE PODEM INCLUIR IMPRECISÕES TÉCNICAS OU ERROS TIPOGRÁFICOS. AS ALTERAÇÕES SÃO ADICIONADAS PERIODICAMENTE ÀS INFORMAÇÕES AQUI. MICROSOFT E/OU SEUS RESPECTIVOS FORNECEDORES PODEM FAZER APRIMORAMENTOS E/OU ALTERAÇÕES DO PRODUTO (S) E/OU O PROGRAMA (S) AQUI DESCRITOS A QUALQUER MOMENTO.

Para obter mais informações sobre os termos de uso, clique no link abaixo:
http://support.microsoft.com/tou/ (http://support.microsoft.com/tou/)