Kā iespējot LDAP pierakstīšanos sistēmā Windows Server 2008

ĀTRA PUBLICĒŠANA


ĀTRAS PUBLICĒŠANAS RAKSTOS IR SNIEGTA INFORMĀCIJA, ATBILDOT UZ NEATLIEKAMĀM VAI UNIKĀLĀM TĒMĀM, KĀ ARĪ TIE VAR TIKT ATJAUNOTI, TIKLĪDZ IR PIEEJAMA JAUNA INFORMĀCIJA.
IEVADS
 direktoriju servera drošību var ievērojami pastiprināt, konfigurējot serveri noraidīt Vienkāršas autentifikācijas un drošības slāņa (SASL) LDAP saites, kuras nepieprasa pierakstīšanos (integritātes pārbaude) vai LDAP vienkāršās saites, kas tiek izpildītas atklāta teksta (bez šifrēta SSL/TLS) savienojumā. SASL var ietvert tādus protokolus kā Vienošanās, Kerberos, NTLM vai Īssavilkums.

Neparakstīta tīkla datplūsma ir uzņēmīga pret atkārtotiem uzbrukumiem , kuros uzbrucējs var pārķert autentifikācijas mēģinājumu unbiļetes izsniegšanu. Uzbrucējs var atkārtoti izmantot biļeti, lai uzdotos par likumīgu lietotāju. Turklāt neparakstīta tīkla datplūsma ir jutīga pret starpnieka uzbrukumiem , kuros uzbrucējs pārtver pakotnes starp klientu un serveri, maina pakotnes un pārsūta tās uz serveri. Ja tā notiek LDAP serverī, uzbrucējs var likt serverim pieņemt lēmumus, kas pamatoti ar viltotiem pieprasījumiem no LDAP klienta.

Šajā rakstā minēts, kā konfigurēt direktoriju serveri, lai pasargātu to no šādiem uzbrukumiem.
PAPILDINDORMĀCIJA

To klientu noteikšana, kuri neizmantoobligāto pierakstīšanās opciju


Klienti, kuri paļaujas uz neparakstītām SASL (Vienošanās, Kerberos, NTLM vai Īssavilkums) LDAP saitēm vai LDAP vienkāršām saitēm savienojumā bez SSL/TLS pārtrauc darboties pēc tam, kad veicat šo konfigurācijas izmaiņu. Lai palīdzētu noteikt šos klientus, direktoriju serveris reģistrē kopsavilkuma notikumu 2887 vienu reizi 24 stundās, lai norādītu, cik saites ir izveidotas. Mēs iesakām konfigurēt šosklientus neizmantot šādas saites. Ja ilgākā laika posmā neviens šāds notikums nav novērots, mēs iesakām konfigurēt serveri noraidīt šādas saites.

Ja šādu klientu noteikšanai ir nepieciešams vairāk informācijas, direktoriju serveri var konfigurēt sniegt detalizētākus žurnālus . Ar šīm papildu reģistrēšanas darbībām tiks reģistrēts notikums 2889, kad klients mēģina izmantot neparakstītu LDAP saiti. Žurnālā ir redzama klienta IP adrese un identitāte, kuru klients mēģināja izmantot, lai veiktu autentifikāciju.. Šo papildu reģistrēšanu var iespējot, iestatot diagnostikas iestatījumu LDAP interfeisa notikumi uz 2 (Pamata). Lai iegūtu papildinformāciju par to, kā mainīt diagnostikas iestatījumus, apmeklējiet šo Microsoft vietni:
http://go.microsoft.com/?linkid=9645087

Ja direktoriju serveris ir konfigurēts noraidīt neparakstītas SASL LDAP saites vai LDAP vienkāršās saites savienojumā bez SSL/TLS, direktoriju serveris reģistrēs kopsavilkuma notikumu 2888 vienu reizi 24 stundās, kad šādi mēģinājumi piekļūt saitēm tiek veikti.

Direktorija konfigurēšana pieprasīt LDAP servera pierakstīšanos

Grupas politikas izmantošana

Servera LDAP pierakstīšanās prasības iestatīšana
  1. Noklikšķiniet uz Sākt, noklikšķiniet uz Izpildīt, ierakstiet mmc.exe un pēc tam noklikšķiniet uz Labi.
  2. Izvēlnē Fails noklikšķiniet uz Pievienot/noņemt papildprogrammu.
  3. Dialoglodziņā Pievienot/noņemt papildprogrammas noklikšķiniet uz Grupas politikas pārvaldības redaktors un uz Pievienot.
  4. Dialoglodziņā Grupas politikas objekta izvēle noklikšķiniet uz Pārlūkot.
  5. Dialoglodziņa Meklēt grupas politikas objektu apgabalā Domēni, OU un saistītie grupas politikas objekti noklikšķiniet uz Noklusējuma domēna politika un pēc tam uz Labi.
  6. Noklikšķiniet uz Pabeigt.
  7. Noklikšķiniet uz Labi.
  8. Izvērsiet Noklusējuma domēna kontrollera politika, Datora konfigurācija, Politikas, Windows iestatījumi, Drošības iestatījumi, Lokālās politikas un pēc tam noklikšķiniet uz Drošības opcijas.
  9. Ar peles labo pogu noklikšķiniet uz Domēna kontrolleris: LDAP servera pierakstīšanās prasības un pēc tam noklikšķiniet uz Rekvizīti.
  10. Dialoglodziņā Domēna kontrolleri: LDAP servera pierakstīšanās prasības Rekvizīti iespējojiet Definēt šo politikas iestatījumu, nolaižamajā sarakstā Pieprasīt pierakstīšanos atlasiet Definēt šo politikas iestatījumu un pēc tam noklikšķiniet uz Labi.
  11. Dialoglodziņā Iestatījuma maiņas apstiprinājums noklikšķiniet uz .
Klienta LDAP pierakstīšanās prasības iestatīšana, izmantojot lokālā datora politiku
  1. Noklikšķiniet uz Sākt, noklikšķiniet uz Izpildīt, ierakstiet mmc.exe un pēc tam noklikšķiniet uz Labi.
  2. Izvēlnē Fails noklikšķiniet uz Pievienot/noņemt papildprogrammu.
  3. Dialoglodziņā Pievienot/noņemt papildprogrammas noklikšķiniet uz Grupas politikas objekta redaktorsun pēc tam uz Pievienot.
  4. Noklikšķiniet uz Pabeigt.
  5. Noklikšķiniet uz Labi.
  6. Izvērsiet Lokālā datora politika, Datora konfigurācija, Politikas, Windows iestatījumi, Drošības iestatījumi, Lokālās politikas un pēc tam noklikšķiniet uz Drošības opcijas.
  7. Ar peles labo pogu noklikšķiniet uz Tīkla drošība: LDAP klienta pierakstīšanās prasības un pēc tam noklikšķiniet uz Rekvizīti.
  8. Dialoglodziņā Tīkla drošība: LDAP klienta pierakstīšanās prasības Rekvizītinolaižamajā sarakstā noklikšķiniet, lai atlasītu Pieprasīt pierakstīšanos, un pēc tam noklikšķiniet uz Labi.
  9. Dialoglodziņā Iestatījuma maiņas apstiprinājums noklikšķiniet uz .
Klienta LDAP pierakstīšanās prasības iestatīšana, izmantojot domēna grupas politiku
  1. Noklikšķiniet uz Sākt, noklikšķiniet uz Izpildīt, ierakstiet mmc.exe un pēc tam noklikšķiniet uz Labi.
  2. Izvēlnē Fails noklikšķiniet uz Pievienot/noņemt papildprogrammu.
  3. Dialoglodziņā Pievienot/noņemt papildprogrammu noklikšķiniet uz Grupas politikas objekta redaktors un pēc tam uz Pievienot.
  4. Noklikšķiniet uz Pārlūkot..., atlasiet Noklusējuma domēna politika (vai grupas politikas, kurai vēlaties iespējot klienta LDAP pierakstīšanos)
  5. Noklikšķiniet uz Labi.
  6. Noklikšķiniet uz Pabeigt.
  7. Noklikšķiniet uz Aizvērt.
  8. Noklikšķiniet uz Labi.
  9. Izvērsiet Noklusējuma domēna politika, Datora konfigurācija, Windows iestatījumi, Drošības iestatījumi, Lokālās politikas un pēc tam noklikšķiniet uz Drošības opcijas.
  10. Dialoglodziņā Tīkla drošība: LDAP klienta pierakstīšanās prasības Rekvizīti nolaižamajā sarakstā noklikšķiniet, lai atlasītu Pieprasīt pierakstīšanos, un pēc tam noklikšķiniet uz Labi.
  11. Dialoglodziņā Iestatījuma maiņas apstiprinājums noklikšķiniet uz .


Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet rakstu Microsoft zināšanu bāzē:
823659 Klientu, pakalpojumu un programmu nesaderības, kas var rasties, ja modificējat drošības iestatījumus un lietotāja tiesību norīkojumus

Reģistra atslēgu izmantošana

Lai automātiski mainītu reģistra atslēgas, skatiet sadaļu Automātiskā labošana. Ja vēlaties patstāvīgi mainīt reģistra atslēgas, skatiet sadaļu Patstāvīgā labošana.

Automātiskā labošana



Lai automātiski labotu šo problēmu, noklikšķiniet uz pogas vai saites Labošana. Dialoglodziņā Failu lejupielāde noklikšķiniet uz Izpildīt un veiciet vednī Labošana norādītās darbības.




Piezīmes
  • Šis vednis, iespējams, būs pieejams tikai angļu valodā. Tomēr automātiskā labošana darbojas arī citās sistēmas Windows valodu versijās.
  • Ja pašlaik neizmantojat datoru, kurā ir šī problēma, saglabājiet labošanas risinājumu zibatmiņas diskā vai kompaktdiskā un pēc tam izpildiet to datorā, kurā ir šī problēma.

Pēc tam atveriet sadaļu Vai problēma ir novērsta?.



Patstāvīgā labošana

Svarīgi! Šajā sadaļā, metodē vai uzdevumā ir ietverti norādījumi par reģistra modificēšanu. Tomēr, ja nepareizi modificēsit reģistru, var rasties nopietnas problēmas. Tāpēc veiciet šīs darbības tieši tā, kā šeit aprakstīts. Papildu drošībai pirms reģistra modificēšanas izveidojiet tā dublējumu. Tādējādi, ja radīsies kāda problēma, reģistru varēs atjaunot. Lai iegūtu papildinformāciju par reģistra dublēšanu un atjaunošanu, noklikšķiniet uz šī raksta numura un skatiet Microsoft zināšanu bāzes rakstu:
322756 Reģistra dublēšana un atjaunošana sistēmā Windows
  1. Noklikšķiniet uz Sākt, uz Izpildīt, ierakstiet regedit un pēc tam noklikšķiniet uz Labi.
  2. Atrodiet šādu reģistra apakšatslēgu un noklikšķiniet uz tās:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Ar peles labo pogu noklikšķiniet uz reģistra ieraksta LDAPServerIntegrity un pēc tam noklikšķiniet uz Modificēt.
  4. Izmainiet Vērtības dati uz 2 un pēc tam noklikšķiniet uz Labi.
  5. Atrodiet šādu reģistra apakšatslēgu un noklikšķiniet uz tās:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. Ar peles labo pogu noklikšķiniet uz reģistra ieraksta ldapclientintegrity un pēc tam noklikšķiniet uz Modificēt.
  7. Izmainiet Vērtības dati uz 2 un pēc tam noklikšķiniet uz Labi.

Active Directory direktoriju vieglpiekļuves pakalpojumam (AD LDS) reģistra atslēga nav pieejama pēc noklusējuma. Tādēļ jums jāizveido reģistra vērtība REG_DWORD tipa LDAPServerIntegrity šādai reģistra apakšatslēgai:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\instanceName\Parameters
PiezīmeInstanceName ir AD LDS eksemplāra nosaukums , kuru vēlaties mainīt.
Konfigurācijas izmaiņu pārbaude
  1. Noklikšķiniet uz Sākt, uz Izpildīt, ierakstiet ldp.exe un pēc tam noklikšķiniet uz Labi.
  2. Izvēlnē Savienojums noklikšķiniet uz Savienot.
  3. Ierakstiet servera nosaukumu un direktoriju servera portu, kas nav SSL/TLS, laukā Serveris un laukā Ports un pēc tam atlasiet Labi.
    Piezīme Active Directory domēna kontrollerim piemērojamais ports ir 389.
  4. Pēc savienojuma izveides izvēlnē Savienojums atlasiet Saistīt.
  5. Sadaļā Saites tips atlasiet Vienkārša saite.
  6. Ierakstiet lietotājvārdu un paroli un pēc tam noklikšķiniet uz Labi.

Esat sekmīgi konfigurējis direktoriju serveri, ja tiek parādīts šāds kļūdas ziņojums:
Ldap_simple_bind_s() neizdevās: Nepieciešama stingrā autentifikācija

Vai problēma ir novērsta?

  • Pārbaudiet, vai problēma ir novērsta. Ja problēma ir novērsta, esat izpildījis visas šajā sadaļā norādītās darbības. Ja problēma nav novērsta, varat sazināties ar atbalsta centru.
  • Labprāt saņemsim jūsu atsauksmes. Lai sniegtu atsauksmes vai ziņotu par problēmām saistībā ar šo risinājumu, lūdzu, ierakstiet komentāru emuārā Automātiskā labošana vai nosūtiet e-pastu.

ATRUNA


MICROSOFT UN/VAI TĀ ATTIECĪGIE PIEGĀDĀTĀJI NEIZDARA PAZIŅOJUMUS PAR INFORMĀCIJAS, KAS ATRODAS DOKUMENTOS UN AR TIEM SAISTĪTAJĀS GRAFIKĀS, KAS PUBLICĒTAS ŠAJĀ VIETNĒ KĀ PAKALPOJUMU DAĻA, ATBILSTĪBU JEBKĀDIEM NOLŪKIEM. DOKUMENTOS UN AR TIEM SAISTĪTAJĀS GRAFIKĀS, KAS PUBLICĒTAS ŠAJĀ VIETNĒ, VAR BŪT IETVERT TEHNISKAS NEPRECIZITĀTES VAI TIPOGRĀFISKAS KĻŪDAS. ŠAI INFORMĀCIJAI REGULĀRI TIEK PIEVIENOTAS IZMAIŅAS. MICROSOFT UN/VAI TĀS ATTIECĪGIE PIEGĀDĀTĀJI JEBKURĀ LAIKĀ VAR VEIKT UZLABOJUMUS UN/VAI IZMAIŅAS ŠEIT APRAKSTĪTAJAM(-IEM) PRODUKTA(-IEM) UN/VAI PROGRAMMĀ(-ĀS).

Lai iegūtu papildinformāciju par lietošanas nosacījumiem, noklikšķiniet uz šīs saites:
http://support.microsoft.com/tou/
fixit fix it
Note This is a "FAST PUBLISH" article created directly from within the Microsoft support organization. The information contained herein is provided as-is in response to emerging issues. As a result of the speed in making it available, the materials may include typographical errors and may be revised at any time without notice. See Terms of Use for other considerations.
Rekvizīti

Raksta ID: 935834. Pēdējo reizi pārskatīts: 09/27/2011 13:53:00. Pārskatījums: 1.0

Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme KB935834
Atsauksmes