配置 LDAPS
安全 LDAP (LDAPS) 允许您为 Active Directory 管理的域启用安全轻型目录访问协议以提供通过 SSL(Secure Socket Layer,安全套接字层)/TLS(Transport Layer Security,传输层安全性)进行通信的功能。
默认不加密客户端与服务器应用程序之间的 LDAP 通信。通过使用 SSL/TLS 的 LDAP (LDAPS),可以保护 Linux VDA 与 LDAP 服务器之间的 LDAP 查询内容。
以下 Linux VDA 组件在 LDAPS 上都具有依赖项:
- Broker 代理:Linux VDA 注册到 Delivery Controller 中
- 策略服务:策略评估
配置 LDAPS 涉及以下过程:
- 在 Active Directory (AD)/LDAP 服务器上启用 LDAPS
- 导出根 CA 以供客户端使用
- 在 Linux VDA 上启用/禁用 LDAPS
- 为第三方平台配置 LDAPS
- 配置 SSSD
- 配置 Winbind
- 配置 Centrify
- 配置 Quest
在 AD/LDAP 服务器上启用 LDAPS
可以通过安装 Microsoft 证书颁发机构 (CA) 或非 Microsoft CA 提供的格式正确的证书来启用通过 SSL 的 LDAP (LDAPS)。
提示:
在域控制器上安装企业根 CA 时将自动启用通过 SSL/TLS 的 LDAP (LDAPS)。
有关如何安装证书并验证 LDAPS 连接的详细信息,请参阅 Microsoft 支持站点上的 How to enable LDAP over SSL with a third-party certification authority(如何借助第三方证书颁发机构启用通过 SSL 的 LDAP)。
当您有一个多层(例如,两层或三层)证书颁发机构层次结构时,您在域控制器上不会自动拥有用于 LDAPS 身份验证的合适证书。
有关如何使用多层证书颁发机构层次结构为域控制器启用 LDAPS 的信息,请参阅 Microsoft TechNet 站点上的 LDAP over SSL (LDAPS) Certificate(通过 SSL 的 LDAP (LDAPS) 证书)一文。
启用根证书颁发机构以供客户端使用
客户端必须使用 LDAP 服务器信任的 CA 颁发的证书。要为客户端启用 LDAPS 身份验证,请将根 CA 证书导入到受信任的密钥库。
有关如何导出根 CA 的详细信息,请参阅 Microsoft 支持 Web 站点上的 How to export Root Certification Authority Certificate(如何导出根证书颁发机构)。
在 Linux VDA 上启用或禁用 LDAPS
要在 Linux VDA 上启用或禁用 LDAPS,请运行以下脚本(在以管理员身份登录时):
此命令的语法包括以下内容:
-
通过提供的根 CA 证书启用通过 SSL/TLS 的 LDAP:
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enable pathToRootCA <!--NeedCopy-->
-
利用通道绑定通过 SSL/TLS 启用 LDAP:
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Enablecb pathToRootCA <!--NeedCopy-->
注意:
用于通道绑定的根 CA 证书必须采用 PEM 格式。如果启用 LDAPS 无法成功创建 Python3 虚拟环境,请按照创建 Python3 虚拟环境中的说明手动创建该环境。
-
回退到未启用 SSL/TLS 的 LDAP
/opt/Citrix/VDA/sbin/enable_ldaps.sh -Disable
<!--NeedCopy-->
专用于 LDAPS 的 Java 密钥库位于 /etc/xdl/.keystore。受影响的注册表项包括:
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServers
HKLM\Software\Citrix\VirtualDesktopAgent\ListOfLDAPServersForPolicy
HKLM\Software\Citrix\VirtualDesktopAgent\UseLDAPS
HKLM\Software\Policies\Citrix\VirtualDesktopAgent\Keystore
HKLM\Software\Citrix\VirtualDesktopAgent\EnableChannelBinding
<!--NeedCopy-->
为第三方平台配置 LDAPS
除 Linux VDA 组件外,还有多个附着于可能也需要安全 LDAP 的 VDA 的第三方软件组件,例如 SSSD、Winbind、Centrify 和 Quest。以下各部分介绍了如何通过 LDAPS、STARTTLS 或 SASL 签名和封装配置安全 LDAP。
提示:
并非所有这些软件组件都优先使用 SSL 端口 636 来确保安全 LDAP。并且大多数时间 LDAPS(端口 636 上通过 SSL 的 LDAP)不能与端口 389 上的 STARTTLS 共存。
SSSD
根据选项在端口 636 或端口 389 上配置 SSSD 安全 LDAP 流量。有关详细信息,请参阅 SSSD LDAP Linux 手册页。
Winbind
Winbind LDAP 查询使用 ADS 方法。Winbind 在端口 389 上仅支持 StartTLS 方法。受影响的配置文件为 /etc/openldap/ldap.conf 下的 ldap.conf 和 /etc/samba/smb.conf 下的 smb.conf。按如下所示更改这些文件:
ldap.conf:
TLS_REQCERT never
smb.conf:
ldap ssl = start tls
ldap ssl ads = yes
client ldap sasl wrapping = plain
<!--NeedCopy-->
或者,安全 LDAP 可以通过 SASL GSSAPI 签名和封装进行配置,但不能与 TLS/SSL 共存。要使用 SASL 加密,请更改 smb.conf 配置:
smb.conf:
ldap ssl = off
ldap ssl ads = no
client ldap sasl wrapping = seal
<!--NeedCopy-->
Centrify
Centrify 在端口 636 上不支持 LDAPS。但它在端口 389 上提供安全加密。有关详细信息,请参阅 Centrify 站点。
Quest
Quest Authentication Service 在端口 636 上支持 LDAPS,但在端口 389 上使用其他方法提供安全加密。
故障排除
使用此功能时可能会引发以下问题:
-
LDAPS 服务可用性
请确认 LDAPS 连接是否在 AD/LDAP 服务器上可用。默认情况下,端口为 636。
-
启用了 LDAPS 时 Linux VDA 注册失败
验证 LDAP 服务器和端口是否已正确配置。请先检查根 CA 证书,确保其与 AD/LDAP 服务器匹配。
-
意外错误地更改注册表项
如果在未使用 enable_ldaps.sh 的情况下意外更新 LDAPS 相关的注册表项,则可能会破坏 LDAPS 组件的依赖项。
-
LDAP 流量不通过 SSL/TLS 从 Wireshark 或任何其他网络监视工具加密
默认禁用 LDAPS。请运行 /opt/Citrix/VDA/sbin/enable_ldaps.sh 强制执行。
-
没有来自 Wireshark 或任何其他网络连接监视工具的 LDAPS 流量
发生 Linux VDA 注册和组策略评估时会出现 LDAP/LDAPS 流量。
-
无法通过在 AD 服务器上运行 ldp connect 验证 LDAPS 可用性
使用 AD FQDN 而非 IP 地址。
-
无法通过运行 /opt/Citrix/VDA/sbin/enable_ldaps.sh 脚本导入根 CA 证书
请提供 CA 证书的完整路径,并确认根 CA 证书的类型是否正确。它应与受支持的大多数 Java Keytool 类型兼容。如果它未在支持列表中列出,您可以先转换类型。如果遇到证书格式问题,我们建议您使用 base64 编码的 PEM 格式。
-
无法通过 Keytool -list 显示根 CA 证书
通过运行
/opt/Citrix/VDA/sbin/enable_ldaps.sh
启用 LDAPS 时,证书将被导入到 /etc/xdl/.keystore 中,并设置密码以保护密钥库。如果忘记了密码,可以重新运行该脚本以创建密钥库。