在ToB的应用开发中,往往需要集成AD域控实现身份认证,同时也算是近期工作的总结,之前已介绍了基础的AD、Ldap,本文主要介绍如何大家一个本地的测试环境。
相关系列:
为避免信息泄露,图中很多位置会出现涂鸦遮盖,但都不影响理解。
1 准备工作
1.1 window server主机/虚拟机
一台windows server服务器或者虚拟机(下文以2003为例子),且包含了域服务。
推荐找一下就绪的镜像或者快照,
1.2 安装AD域服务
确保服务器管理出现AD DS选项,不然就需要在配置中添加功能并安装Active Directory域服务
1.3 测试AD的ldap接口
选中AD域的一个服务器(本机),右键打开ldp客户端
首次打开会自动连接,可以看到授权成功(此时默认用的是非加密通道),Authenticated as xxx
编辑
到达这一步,恭喜你已经部署好AD域服务了,但这还不够,敏感操作是需要通过加密端口访问的,如果只是查询信息,到这里就可以了。
2 LDAPS
2.1 为什么需要ldaps
对于简单的操作,我们使用ldap就可以操作,例如成员、组织目录查询这种。
但是如果你尝试修改密码等操作,会报错‘Unwilling To Perform‘’’如下:
LDAPError [UnwillingToPerformError]: Unwilling To Perform at messageCallback (D:\projects\cloudpcadmin\modules\ldap-ad\node_modules\ldapjs\lib\client\client.js:1267:45) at Parser.onMessage (D:\projects\cloudpcadmin\modules\ldap-ad\node_modules\ldapjs\lib\client\client.js:925:14) at Parser.emit (node:events:519:28) at Parser.emit (node:domain:488:12) at Parser.write (D:\projects\cloudpcadmin\modules\ldap-ad\node_modules\ldapjs\lib\messages\parser.js:135:8) at Socket.onData (D:\projects\cloudpcadmin\modules\ldap-ad\node_modules\ldapjs\lib\client\client.js:875:22) at Socket.emit (node:events:519:28) at Socket.emit (node:domain:488:12) at addChunk (node:internal/streams/readable:559:12) at readableAddChunkPushByteMode (node:internal/streams/readable:510:3) { lde_message: 'Unwilling To Perform', lde_dn: null }
这是出于安全考虑的,文传输密码生成的数据是不安全的,被中间窃取后别人就可以直接拿来用
所以,想要实现密码修改等功能,就必须支持ldaps
2.3 测试是否已支持ldaps
同样使用之前的ldp.exe, 选择连接-断开连接-连接,端口号改为636(ldaps),选中ssl
点击确定,可看到无法连接提示,出现了报错。
说明设备并未支持支持ssl连接,
如果成功,说明这个镜像已经支持,就可以跳过后续操作啦
3 一键生成证书并部署
3.1 证书生成脚本
运行下面的脚本,制作一个FQDN的证书,用于ssl连接同时配置好相关的参数并重启,已经绑定了附件资源,欢迎下载(编辑时中文注释部分会出现乱码,这个脚本是claude多次修改和我调整部分内容后经过反复测试的)
# addcert.ps1 # 创建新证书并将其设置为 NTDS 参数的 PowerShell 脚本 $serverFQDN = "$env:COMPUTERNAME.$env:USERDNSDOMAIN" $cert = New-SelfSignedCertificate -DnsName $serverFQDN -CertStoreLocation "Cert:\LocalMachine\My" -KeyUsage KeyEncipherment,DigitalSignature -KeySpec KeyExchange -KeyLength 2048 -KeyExportPolicy Exportable -NotAfter (Get-Date).AddYears(5) Write-Host "Created new certificate:" $cert | Format-List Subject, Thumbprint, NotAfter # 设置 NTDS 参数 $ntdsParams = "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" Set-ItemProperty -Path $ntdsParams -Name "Certificate" -Value $cert.Thumbprint Write-Host "Certificate thumbprint set in NTDS parameters: $($cert.Thumbprint)" # 重启 NTDS 服务 Restart-Service -Name NTDS -Force Write-Host "NTDS service restarted"
补充说明下,这里面有个知识点 FQDN,注意如果自己签名,一定要留意下这部分,就是一个一个主机的最终标识域名,之前我也研究了挺久才搞懂的,类似java包名或者网站hostname一样的东西,保证这个主机在某个网络内标识唯一
3.2 等待NTDS重启
这里需要等一会儿,可能一分钟
在AD DS下面查看服务器服务状态,确保NTDS正常启动
3.3 部署证书(更改作用域)
因为是本机生成的自签名证书,想要全局服务生效,需要将证书复制到受信任区域,应该是为了防止其它程序自动生成证书(或许有更好的办法)
具体操作为:
3.3.1 按下win+R打开运行
3.3.2 输入 - certlm.msc 打开证书管理
打开个人证书,可看到生成的证书,并具备有身份验证目的
编辑
3.3.3 复制生成的证书
3.3.4 在受信任的根证书颁发机构下的证书目录粘贴
确保已经粘贴成功
4 测试ssl连接
4.1 参考2.3 使用ldp.exe
修改端口和勾选ssl后点击确认,可看到不再失败,而是显示了支持信息
向上滚动可看到连接成功,获取到了目录数据(Established connection to )
4.2 它机ssl测试
在别的电脑测试下证书是否生效,可参考SSL证书安装、配置和问题定位指南
使用openssl s_client指令(注意先安装openssl,没有的就下载安装下)
5. 总结
看完你会发现操作很简单,只有两步:运行脚本生成证书;手动复制下证书。可能一分钟就搞定了。
但是到昨天下午为止,捣鼓这个环境,也是试了不少东西,花费了差不多三四天的时间,虽然不全在做这个,但大部分时间是。归根结底一个是网络上的指导都很零散,也似乎缺少ad+ldaps的内容。另一个就是自己基础不扎实,如何测试证书生效都是先学的,之前也就部署过nginx证书等,这次不得不深入研究下了握手过程等。
突然才意识到,我们的桌面是有屏幕水印的,可怕,幸亏之前没怎么截大图,但这次的操作比较复杂,不截图可能不好说明,幸亏发现的早,有一部分图还重新返工了。
