Активация обработки протокола LDAPS
Протокол LDAPS является комбинацией из протоколов LDAP и SSL/TLS, в которой трафик LDAP передается через зашифрованный канал. Для перехвата и обработки зашифрованного трафика используется подход TLS termination, который предполагает установку двух отдельных каналов с различными ключами шифрования. Для работы этого режима необходимо выпустить сертификат, позволяющий прокси-серверу ITDR подтвердить легитимность подключения перед LDAP-клиентом.
Перенаправление трафика LDAPS не является обязательным для работы ITDR, но повысит уровень защиты, реализуемый продуктом.
Перед активацией LDAPS убедитесь, что на узлах обнаружения выделено не менее 4 vCPU.
Выпуск и установка TLS-сертификата в ITDR
Для добавления TLS-сертификата, используемого при обработке трафика LDAPS, необходимо выполнить следующие действия:
- Запросите и выпустите совместимый TLS-сертификат. Ориентируйтесь на документацию Microsoft для определения необходимых значений полей CSR.
Требования к TLS-сертификату
| Поле сертификата | Ожидаемое значение |
|---|---|
| Common Name | любое |
| Subject | DNS-имя (FQDN) контроллера домена |
| Subject Alternative Name (SAN) | DNS-имя (FQDN) контроллера домена ИЛИ wildcard запись типа *.domain.com |
| Enhanced Key Usage | Server Authentication (1.3.6.1.5.5.7.3.1) |
На узле управления перейдите в директорию, в которой установлен продукт.
Скопируйте файл сертификата в формате
pfxилиpemв директорию./security/certs/tls. Для полноценной обработки трафика сертификат должен содержать приватный (закрытый) ключ. В случае выпуска сертификата в форматеpfxиспользуйте опцию Экспортировать приватный ключ в оснастке Windows Сертификаты. В случае выпуска сертификата в форматеpemразместите в одном файле секции-----BEGIN CERTIFICATE-----и-----BEGIN PRIVATE KEY-----, а также дополнительные секции сертификатов, входящих в цепочку доверия. Если приватный ключ в сертификате защищен паролем, то его следует приложить в текстовом файле с именем<certificate_filename>.password, где<certificate_filename>должен включать расширение файла. Например, в случае сертификата в форматеpfxимена файлов будутcertificate.pfxиcertificate.pfx.password.Перезапуск компонентов не требуется. При следующем установлении связи между контроллером домена и узлом обнаружения автоматически будет выбран наиболее подходящий сертификат.
ITDR выбирает наилучший сертификат из указанной ранее директории, ориентируясь на поле SAN. При этом предпочтение будет отдаваться сертификату, имеющему полное имя контроллера домена, во вторую очередь - wildcard-сертификатам. Если в процессе работы системы набор сертификатов будет изменен, например сертификат заменен на новый, ITDR обновит сертификат на узлах обнаружения в течение нескольких минут.
Включение режима LDAPS на контроллерах домена
Для того, чтобы активировать перенаправление и обработку трафика LDAPS, необходимо изменить настроенную ранее задачу в Планировщике задач Windows. Подробнее о процессе настройки задач через групповую политику в разделе Установка скрипта сетевого перенаправления.
Откройте созданный ранее объект групповой политики (GPO) при помощи оснастки Управление групповыми политиками (Group Policy Management).
Измените ранее созданную задачу ITDR-Run. Задайте для задачи аргументы командной строки:
-ExecutionPolicy Bypass -File "%ProgramData%\ITDR\itdr_agent_forwarding.ps1" -Run -ManagementNodeIP <Ip> -AdditionalProtocols LDAPS
- Сохраните объект групповой политики. Изменения будут применены автоматически по мере распространения политик на контроллеры домена.
Перед настройкой контроллеров домена убедитесь, что TLS-сертификат настроен в ITDR. В случае отсутствия подходящего сертификата перенаправление трафика не будет включено для контроллера домена в целом.