Momentálne ste offline a čaká sa, kým sa znova pripojíte na internet

Zapnutie prihlasovania prostredníctvom protokolu LDAP na serveri Windows Server 2008

RÝCHLE PUBLIKOVANIE


ČLÁNKY ZVEREJNENÉ PROSTREDNÍCTVOM SLUŽBY RÝCHLEHO PUBLIKOVANIA OBSAHUJÚ INFORMÁCIE REAGUJÚCE NA NOVÉ ALEBO JEDINEČNÉ TÉMY A S PRÍSUNOM NOVÝCH AKTUÁLNYCH INFORMÁCIÍ MÔŽU BYŤ AKTUALIZOVANÉ.
ÚVOD
Zabezpečenie adresárového servera je možné výrazne zvýšiť zmenou konfigurácie servera tak, aby odmietal väzby protokolu LDAP v rámci vrstvy Simple Authentication and Security Layer (SASL), ktoré nevyžadujú prihlásenie (overenie integrity), a jednoduché väzby protokolu LDAP vykonávané prostredníctvom pripojenia zadaním obyčajného textu (pripojenie nešifrované vrstvou SSL/TLS). K vrstvám SASL môžu patriť protokoly Negotiate, Kerberos, NTLM alebo Digest.

Nepodpísaný sieťový prenos je citlivý na útoky opakovaným prenosom údajov, pri ktorých útočník zachytí pokus o overenie a vystavenie lístka. Útočník sa môže opakovaným použitím lístka vydávať za oprávneného používateľa. Okrem toho je nepodpísaný sieťový prenos citlivý aj na útoky typu MITM (man-in-the-middle), pri ktorých útočník zachytáva balíky posielané medzi klientom a serverom a v pozmenenom tvare ich posiela na server. Ak k tejto situácii dôjde na serveri LDAP, útočník môže prinútiť server, aby vytváral výsledné rozhodnutia na základe sfalšovaných požiadaviek klienta LDAP.

V tomto článku sa popisuje možnosť úpravy konfigurácie adresárového servera, ktorá bráni podobným útokom.
DALSIE INFORMACIE

Vyhľadanie klientov, ktorí nepoužívajú možnosť povinného prihlásenia (Require signing)


Klienti, ktorí sa spoliehajú na nepodpísané väzby protokolu LDAP v rámci vrstvy SASL (protokoly Negotiate, Kerberos, NTLM alebo Digest) alebo používajú jednoduché väzby protokolu LDAP prostredníctvom pripojenia nevyužívajúceho vrstvu SSL/TLS, prestanú fungovať po tejto zmene konfigurácie. Ak chcete týchto klientov identifikovať, adresárový server zaznamená do denníka súhrnnú udalosť 2887 raz za 24 hodín, ktorá určuje počet väzieb tohto typu. Odporúčame týchto klientov konfigurovať tak, aby podobné väzby nepoužívali. Ak neboli tieto udalosti zaznamenané počas dlhšieho časového obdobia, odporúčame konfigurovať server tak, aby väzby tohto typu odmietal.

Ak sú na identifikáciu týchto klientov potrebné ďalšie informácie, môžete adresárový server nakonfigurovať na zaznamenávanie podrobnejších záznamov do denníka. Výsledkom podrobnejšieho zaznamenávania bude zaznamenanie udalosti 2889, ktorá znamená, že sa klient pokúsil vytvoriť nepodpísanú väzbu LDAP. Záznam bude obsahovať adresu IP klienta a identitu, ktorú sa klient pokúsil použiť pri procese overovania. Podrobnejšie zaznamenávanie do denníka môžete zapnúť nastavením diagnostiky Udalosti rozhrania LDAP (LDAP Interface Events) na úroveň 2 (základná). Ďalšie informácie o úpravách nastavenia diagnostiky nájdete na nasledovnej webovej lokalite spoločnosti Microsoft:
http://go.microsoft.com/?linkid=9645087

V prípade, ak je adresárový server nakonfigurovaný tak, aby odmietal nepodpísané väzby protokolu LDAP v rámci vrstvy SASL alebo jednoduché väzby protokolu LDAP prostredníctvom pripojenia nepoužívajúceho vrstvu SSL/TLS, adresárový server zaznamená do denníka súhrnnú udalosť 2888 raz za 24 hodín, ktorá znamená, že došlo k pokusu o vytvorenie podobnej väzby.

Nastavenie konfigurácie adresára tak, aby vyžadoval prihlásenie servera LDAP prostredníctvom nastavenia

Použitie skupinovej politiky

(Using Group Policy), ktoré je súčasťou požiadavky prihlásenia cez protokol LDAP
 1. Kliknite na tlačidlo Štart, kliknite na príkaz Spustiť, zadajte príkaz mmc.exe a potom kliknite na tlačidlo OK.
 2. V ponuke Súbor kliknite na položku Pridať alebo odstrániť modul.
 3. V dialógovom okne pridávania alebo odstraňovania modulov kliknite na položku Editor skupinovej politiky a potom na položku Pridať.
 4. V dialógovom okne Výber objektu skupinovej politiky kliknite na položku Prehľadávať.
 5. V dialógovom okne Vyhľadať objekt skupinovej politiky kliknite na položku Predvolená politika domény v oblasti Domény, organizačné jednotky a prepojené objekty skupinovej politiky a potom na tlačidlo OK.
 6. Kliknite na tlačidlo Dokončiť.
 7. Kliknite na tlačidlo OK.
 8. Rozbaľte zoznam politiky pre predvolený radič domény, rozbaľte zoznam Konfigurácia počítača, rozbaľte zoznam Politiky, rozbaľte zoznam Nastavenie systému Windows, rozbaľte zoznam Nastavenie zabezpečenia, rozbaľte zoznam s možnosťami lokálnej politiky a potom kliknite na položku Možnosti zabezpečenia.
 9. Pravým tlačidlom kliknite na položku Radič domény: požiadavky na prihlasovanie servera LDAP (Domain controller: LDAP server signing requirements) a potom kliknite na položku Vlastnosti (Properties).
 10. V dialógovom okne Radič domény: požiadavky na prihlasovanie servera LDAP – vlastnosti (Domain controller: LDAP server signing requirements Properties) kliknutím vyberte položku Definovať toto nastavenie politiky (Define this policy setting), vyberte položku Požadovať prihlásenie (Require signing) v rozbaľovacom zozname Definovať toto nastavenie politiky (Define this policy setting) a kliknite na tlačidlo OK.
 11. V dialógovom okne Potvrdiť zmenu nastavenia (Confirm Setting Change) kliknite na tlačidlo Áno (Yes).
Nastavenie požiadaviek na prihlasovanie klienta LDAP v lokálnej politike počítača
 1. Kliknite na tlačidlo Štart, kliknite na príkaz Spustiť, zadajte príkaz mmc.exe a potom kliknite na tlačidlo OK.
 2. V ponuke Súbor kliknite na položku Pridať alebo odstrániť modul.
 3. V dialógovom okne pridávania alebo odstraňovania modulov kliknite na položku Editor skupinovej politikya potom kliknite na príkaz Pridať.
 4. Kliknite na tlačidlo Dokončiť.
 5. Kliknite na tlačidlo OK.
 6. Rozbaľte zoznam politiky pre predvolený radič domény, rozbaľte zoznam Konfigurácia počítača, rozbaľte zoznam Politiky, rozbaľte zoznam Nastavenie systému Windows, rozbaľte zoznam Nastavenie zabezpečenia, rozbaľte zoznam s možnosťami lokálnej politiky a potom kliknite na položku Možnosti zabezpečenia.
 7. Pravým tlačidlom kliknite na položku Zabezpečenie siete: požiadavky na prihlasovanie klienta LDAP (Network security: LDAP client signing requirements) a potom kliknite na položku Vlastnosti (Properties).
 8. V dialógovom okne Zabezpečenie siete: požiadavky na prihlasovanie klienta LDAP – vlastnosti (Network security: LDAP client signing requirements Properties) kliknutím vyberte v rozbaľovacom zozname položku Požadovať prihlásenie (Require signing) a potom kliknite na tlačidlo OK.
 9. V dialógovom okne Potvrdiť zmenu nastavenia (Confirm Setting Change) kliknite na tlačidlo Áno (Yes).
Nastavenie požiadaviek na prihlasovanie klienta LDAP prostredníctvom skupinovej politiky domény
 1. Kliknite na tlačidlo Štart, kliknite na príkaz Spustiť, zadajte príkaz mmc.exe a potom kliknite na tlačidlo OK.
 2. V ponuke Súbor kliknite na položku Pridať alebo odstrániť modul.
 3. V dialógovom okne pridávania alebo odstraňovania modulov kliknite na položku Editor skupinovej politiky a potom kliknite na príkaz Pridať.
 4. Kliknite na príkaz Prehľadávať..., vyberte položku Predvolená politika domény (alebo vyberte skupinovú politiku, pomocou ktorej chcete zapnúť prihlasovanie klienta LDAP).
 5. Kliknite na tlačidlo OK.
 6. Kliknite na tlačidlo Dokončiť.
 7. Kliknite na tlačidlo Zavrieť.
 8. Kliknite na tlačidlo OK.
 9. Rozbaľte zoznam predvolenej politiky domény, rozbaľte zoznam Konfigurácia počítača, rozbaľte zoznam Nastavenie systému Windows, rozbaľte zoznam Nastavenie zabezpečenia, rozbaľte zoznam s možnosťami lokálnej politiky a potom kliknite na položku Možnosti zabezpečenia.
 10. V dialógovom okne Zabezpečenie siete: požiadavky na prihlasovanie klienta LDAP – vlastnosti (Network security: LDAP client signing requirements Properties) kliknutím vyberte v rozbaľovacom zozname položku Požadovať prihlásenie (Require signing) a potom kliknite na tlačidlo OK.
 11. V dialógovom okne Potvrdiť zmenu nastavenia (Confirm Setting Change) kliknite na tlačidlo Áno (Yes).


Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
823659 Problémy s nekompatibilitou, ktoré sa môžu vyskytnúť pri úpravách nastavenia zabezpečenia a priradenia používateľských práv

Použitie kľúčov databázy Registry

Ak chcete, aby sme kľúče databázy Registry zmenili za vás, prejdite na časť Opravte to za mňa. Ak chcete tento problém vyriešiť sami, prejdite na časť Ja to vyriešim.

Opravte to za mňaAk chcete tento problém vyriešiť automaticky, kliknite na prepojenie alebo tlačidlo Fix it. Kliknite na položku Spustiť v dialógovom okne Prevzatie súboru a postupujte podľa pokynov Sprievodcu nástroja Fix it.
Poznámky
 • Tento sprievodca môže byť dostupný iba v angličtine. Automatická oprava však funguje aj pre ostatné jazykové verzie systému Windows.
 • Ak nepracujete s počítačom, v ktorom sa vyskytol problém, môžete riešenie Fix it uložiť na jednotku flash alebo na disk CD a potom ho môžete spustiť v počítači s problémom.

Potom prejdite do časti Vyriešil sa problém?Ja to vyriešim

Dôležité upozornenie Táto sekcia, postup alebo úloha obsahuje kroky, ktoré informujú o úpravách databázy Registry. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Preto dávajte pozor a postupujte presne podľa týchto krokov. Na dosiahnutie lepšej ochrany je pred úpravou databázu Registry vhodné zálohovať. To vám umožní obnoviť databázu Registry, ak sa vyskytnú problémy. Ďalšie informácie o zálohovaní a obnovení databázy Registry nájdete v nasledovnom článku databázy Microsoft Knowledge Base:
322756 Zálohovanie a obnovovanie databázy Registry v systéme Windows
 1. Kliknite na tlačidlo Štart, kliknite na príkaz Spustiť, zadajte príkaz regedit a potom kliknite na tlačidlo OK.
 2. Vyhľadajte nasledovný podkľúč databázy Registry a kliknite naň:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
 3. Kliknite pravým tlačidlom myši na položku databázy Registry s názvom LDAPServerIntegrity a potom kliknite na položku Zmeniť.
 4. Hodnotu v poli Údaj hodnoty zmeňte na číslo 2 a potom kliknite na tlačidlo OK.
 5. Vyhľadajte nasledovný podkľúč databázy Registry a kliknite naň:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
 6. Kliknite pravým tlačidlom myši na položku databázy Registry s názvom ldapclientintegrity a potom kliknite na položku Zmeniť.
 7. Hodnotu v poli Údaj hodnoty zmeňte na číslo 2 a potom kliknite na tlačidlo OK.

Pre služby AD LDS (Active Directory Lightweight Directory Services) nie je kľúč databázy Registry predvolene k dispozícii. Preto musíte vytvoriť položku databázy Registry LDAPServerIntegrity typu REG_DWORD v nasledovnom podkľúči databázy Registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\instanceName\Parameters
PoznámkaInstanceName je názov inštancie služby AD LDS, ktorú chcete zmeniť.
Overenie zmien konfigurácie
 1. Kliknite na tlačidlo Štart, kliknite na príkaz Spustiť, zadajte príkaz ldp.exe a potom kliknite na tlačidlo OK.
 2. V ponuke Pripojenie kliknite na položku Pripojiť.
 3. Do polí Server a Port zadajte názov servera a portu adresárového servera neobsahujúceho vrstvu SSL/TLS a potom kliknite na tlačidlo OK.
  Poznámka Pre radič domény Active Directory je číslo použiteľného portu 389.
 4. Po vytvorení pripojenia vyberte v ponuke Pripojenie (Connection) položku Väzba (Bind).
 5. V časti Typ väzby (Bind type) vyberte položku Jednoduchá väzba (Simple bind).
 6. Zadajte meno používateľa a heslo a potom kliknite na tlačidlo OK.

Úspešnú konfiguráciu adresárového servera potvrdí zobrazenie tejto správy:
Zlyhanie väzby Ldap_simple_bind_s(): Požaduje sa striktné overenie (Ldap_simple_bind_s() failed: Strong Authentication Required)

Vyriešil sa problém?

 • Skontrolujte, či sa problém vyriešil. Ak sa problém vyriešil, úspešne ste dokončili postupy v tejto časti. Ak sa problém nepodarilo vyriešiť, môžete sa obrátiť na oddelenie technickej podpory.
 • Oceníme vaše pripomienky. Ak chcete poskytnúť pripomienky alebo nahlásiť ľubovoľný problém súvisiaci s týmto riešením, použite blog Fix it for me alebo nám odošlite e-mail.

VYHLÁSENIE


SPOLOČNOSŤ MICROSOFT A/ALEBO JEJ DODÁVATELIA NA ŽIADEN ÚČEL NEZARUČUJÚ VHODNOSŤ INFORMÁCIÍ UVEDENÝCH V DOKUMENTOCH A SÚVISIACICH GRAFICKÝCH PRVKOCH PUBLIKOVANÝCH NA TEJTO WEBOVEJ LOKALITE. DOKUMENTY A SÚVISIACE GRAFICKÉ PRVKY PUBLIKOVANÉ NA TEJTO WEBOVEJ LOKALITE MÔŽU OBSAHOVAŤ TECHNICKÉ NEPRESNOSTI ALEBO TLAČOVÉ CHYBY. TU UVEDENÉ INFORMÁCIE SA PRAVIDELNE AKTUALIZUJÚ. SPOLOČNOSŤ MICROSOFT A/ALEBO JEJ DODÁVATELIA MÔŽU PRODUKTY A PROGRAMY POPÍSANÉ V TOMTO ČLÁNKU KEDYKOĽVEK VYLEPŠOVAŤ ALEBO MENIŤ.

Ďalšie informácie týkajúce sa podmienok používania nájdete na tomto prepojení:
http://support.microsoft.com/tou/
fixit fix it
Note This is a "FAST PUBLISH" article created directly from within the Microsoft support organization. The information contained herein is provided as-is in response to emerging issues. As a result of the speed in making it available, the materials may include typographical errors and may be revised at any time without notice. See Terms of Use for other considerations.
Vlastnosti

ID článku: 935834 – Posledná kontrola: 05/15/2011 22:48:00 – Revízia: 2.0

Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

 • kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme KB935834
Pripomienky