Configurar LDAPS
LDAP seguro (LDAPS) permite habilitar el protocolo LDAP seguro (Secure Lightweight Directory Access Protocol) para sus dominios administrados con Active Directory para ofrecer comunicaciones a través de SSL (Secure Socket Layer) o TLS (Transport Layer Security).
De forma predeterminada, las comunicaciones LDAP entre las aplicaciones de cliente y de servidor no están cifradas. El protocolo LDAP con SSL/TLS (LDAPS) permite proteger el contenido de la consulta LDAP entre Linux VDA y los servidores LDAP.
Los siguientes componentes de Linux VDA tienen dependencias en LDAPS:
- Broker Agent: Registro de Linux VDA en un Delivery Controller
- Servicio de directivas: Evaluación de directivas
La configuración de LDAPS implica lo siguiente:
- Habilitar LDAPS en Active Directory (AD) o el servidor LDAP
- Exportar la entidad de certificación (CA) raíz para uso del cliente
- Habilitar/inhabilitar LDAPS en Linux VDA
- Configurar LDAPS para plataformas de terceros
- Configurar SSSD
- Configurar Winbind
- Configurar Centrify
- Configurar Quest
Habilitar LDAPS en el servidor AD/LDAP
Puede habilitar el protocolo LDAP a través de SSL (LDAPS) instalando un certificado con el formato adecuado desde una entidad de certificación (CA) de Microsoft o una entidad de certificación (CA) de otro proveedor distinto de Microsoft.
Sugerencia:
LDAP a través de SSL/TLS (LDAPS) se habilita automáticamente al instalar una entidad de certificación raíz empresarial en un controlador de dominio.
Para obtener más información sobre cómo instalar el certificado y comprobar la conexión de LDAPS, consulte How to enable LDAP over SSL with a third-party certification authority en el sitio de asistencia técnica de Microsoft.
Si dispone de una jerarquía de entidades de certificación multicapa (por ejemplo, en dos o tres capas), no tiene automáticamente el certificado apropiado para la autenticación LDAPS en el controlador de dominio.
Para obtener información sobre cómo habilitar LDAPS para los controladores de dominio mediante una jerarquía de entidades de certificación multicapa, consulte el artículo LDAP over SSL (LDAPS) Certificate en el sitio de Microsoft TechNet.
Habilitar la entidad de certificación raíz para el uso del cliente
El cliente debe utilizar un certificado de una entidad de certificación en la que confíe el servidor LDAP. Para habilitar la autenticación LDAPS para el cliente, importe el certificado de la entidad de certificación (CA) raíz en un almacén de claves de confianza.
Para obtener más información sobre cómo exportar la entidad de certificación raíz, consulte Cómo exportar el certificado de entidad emisora de certificados raíz en el sitio Web de asistencia técnica de Microsoft.
Habilitar o inhabilitar LDAPS en Linux VDA
Para habilitar o inhabilitar LDAPS en Linux VDA, ejecute el siguiente script (habiendo iniciado una sesión como administrador):
La sintaxis del comando es la siguiente:
-
Habilitar LDAP por SSL/TLS con el certificado de CA raíz suministrado:
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enable pathToRootCA <!--NeedCopy-->
-
Habilite LDAP por SSL/TLS con vinculación de canales:
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enablecb pathToRootCA <!--NeedCopy-->
Nota:
El certificado de CA raíz para la vinculación de canales debe estar en formato PEM. Antes de habilitar la vinculación de canales, cree un entorno virtual Python3. Para obtener más información, consulte Crear un entorno virtual Python3.
-
Recurrir a LDAP sin SSL/TLS
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Disable
<!--NeedCopy-->
El almacén de claves de Java dedicado para LDAPS se encuentra en /etc/xdl/.keystore. Las claves de Registro afectadas incluyen:
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServers
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServersForPolicy
HKLM\Software\Citrix\VirtualDesktopAgent\UseLDAPS
HKLM\Software\Policies\Citrix\VirtualDesktopAgent\Keystore
HKLM\Software\Citrix\VirtualDesktopAgent\EnableChannelBinding
<!--NeedCopy-->
Configurar LDAPS para una plataforma de terceros
Además de componentes de Linux VDA, hay varios componentes de software de terceros que se adhieren a Linux VDA y pueden requerir también LDAP seguro, tales como SSSD, Winbind, Centrify y Quest. En las secciones siguientes se describe cómo configurar LDAP seguro con LDAPS, STARTTLS o sellado SASL.
Sugerencia:
No todos estos componentes de software prefieren usar el puerto SSL 636 para garantizar LDAP seguro. La mayoría de las veces, LDAPS (LDAP por SSL en el puerto 636) no puede coexistir con STARTTLS en el puerto 389.
SSSD
Configure el tráfico de LDAP seguro de SSSD en el puerto 636 o 389, según las opciones. Para obtener más información, consulte SSSD LDAP Linux man page.
Winbind
La consulta LDAP en Winbind utiliza el método ADS. Winbind solo admite el método StartTLS en el puerto 389. Los archivos de configuración afectados son ldap.conf en /etc/openldap/ldap.conf y smb.conf en /etc/samba/smb.conf. Cambie los archivos de la siguiente manera:
ldap.conf:
TLS_REQCERT never
smb.conf:
ldap ssl = start tls
ldap ssl ads = yes
client ldap sasl wrapping = plain
<!--NeedCopy-->
De forma alternativa, se puede configurar LDAP seguro mediante firma y sello de SASL GSSAPI, pero no puede coexistir con TLS/SSL. Para usar el cifrado SASL, cambie la configuración de smb.conf:
smb.conf:
ldap ssl = off
ldap ssl ads = no
client ldap sasl wrapping = seal
<!--NeedCopy-->
Centrify
Centrify no admite LDAPS en el puerto 636. No obstante, sí que ofrece cifrado seguro en el puerto 389. Para obtener más información, visite el sitio de Centrify.
Quest
Quest Authentication Service no admite LDAPS en el puerto 636, pero proporciona cifrado seguro en el puerto 389 mediante un método diferente.
Solución de problemas
Pueden producirse los siguientes problemas cuando se usa esta función:
-
Disponibilidad del servicio LDAPS
Compruebe que la conexión de LDAPS está disponible en el servidor AD/LDAP. El puerto está en 636 de forma predeterminada.
-
El registro de Linux VDA falla cuando LDAPS está habilitado
Verifique si el servidor LDAP y el puerto o los puertos están configurados correctamente. Compruebe primero el certificado de CA raíz y asegúrese de que coincide con el servidor de AD/LDAP.
-
Registro incorrecto cambiado por accidente
Si las claves relacionadas con LDAPS se actualizaron accidentalmente sin usar enable_ldaps.sh, esto puede romper la dependencia de los componentes de LDAPS.
-
El tráfico LDAP no se cifra mediante SSL/TLS desde Wireshark ni ninguna otra herramienta de supervisión de red
De forma predeterminada, LDAPS está inhabilitado. Ejecute /opt/Citrix/VDA/sbin/enable_ldaps.sh para forzarlo.
-
No hay tráfico LDAPS desde Wireshark o cualquier otra herramienta de supervisión de red
El tráfico de LDAP o LDAPS ocurre cuando tienen lugar el registro de Linux VDA y la evaluación de las directivas de grupo.
-
No se pudo comprobar la disponibilidad de LDAPS ejecutando “ldp connect” en el servidor de Active Directory
Use el nombre de dominio completo (FQDN) de AD en lugar de la dirección IP.
-
No se pudo importar el certificado de CA raíz ejecutando el script /opt/Citrix/VDA/sbin/enable_ldaps.sh
Proporcione la ruta de acceso completa del certificado de CA y compruebe si el certificado raíz de la CA es del tipo correcto. En general, debería admitir la mayoría de los tipos de Java Keytool disponibles. Si no aparece en la lista de compatibilidad, puede convertir el tipo. Recomendamos el formato PEM con codificación base64 si encuentra algún problema de formato del certificado.
-
No se puede ver el certificado de CA raíz con el parámetro de Keytool -list
Al habilitar LDAPS ejecutando
/opt/Citrix/VDA/sbin/enable_ldaps.sh
, el certificado se importa a /etc/xdl/.keystore y la contraseña se establece para proteger el almacén de claves. Si olvida la contraseña, puede volver a ejecutar el script para crear un almacén de claves.