Tutorial: como configurar o LDAP seguro para um domínio gerenciado do Microsoft Entra Domain Services

Para se comunicar com o domínio gerenciado do Microsoft Entra Domain Services, o protocolo leve e seguro de acesso a diretório (LDAP) é usado. Por padrão, o tráfego do LDAP não é criptografado, o que é uma preocupação de segurança para muitos ambientes.

Com o Microsoft Entra Domain Services, você pode configurar o domínio gerenciado para usar o protocolo leve e seguro de acesso a diretório (LDAP). Quando você usa o LDAP Seguro, o tráfego é criptografado. O LDAP Seguro também é conhecido como LDAP sobre protocolo SSL/TLS.

Este tutorial mostra como configurar o LDAPS para um domínio gerenciado do Domain Services.

Neste tutorial, você aprenderá a:

  • Criar um certificado digital para uso com o Microsoft Entra Domain Services
  • Habilitar o LDAP seguro para Microsoft Entra Domain Services
  • Configurar o LDAP Seguro para uso na Internet pública
  • Associar e testar o LDAP seguro para um domínio gerenciado

Caso não tenha uma assinatura do Azure, crie uma conta antes de começar.

Pré-requisitos

Para concluir este tutorial, você precisará dos seguintes recursos e privilégios:

Entre no centro de administração do Microsoft Entra

Neste tutorial, você deve configurar o LDAP seguro para o domínio gerenciado usando o centro de administração do Microsoft Entra. Para começar, primeiro entre no Centro de Administração do Microsoft Entra.

Criar um certificado para o LDAP Seguro

Para usar o LDAP Seguro, um certificado digital é usado para criptografar a comunicação. Esse certificado digital é aplicado ao domínio gerenciado e permite que ferramentas como LDP.exe usem a comunicação criptografada segura ao consultar dados. Há duas maneiras de criar um certificado para acesso do LDAP Seguro ao domínio gerenciado:

  • Um certificado de uma AC (autoridade de certificação) pública ou uma AC corporativa.
    • Caso sua organização obtenha certificados de uma AC pública, obtenha o certificado LDAP Seguro dessa AC pública. Se você usar uma AC corporativa em sua organização, obtenha o certificado LDAP Seguro da AC corporativa.
    • Uma AC pública só funciona quando você usa um nome DNS personalizado com o domínio gerenciado. Se o nome de domínio DNS do domínio gerenciado terminar em .onmicrosoft.com, você não poderá criar um certificado digital para proteger a conexão com esse domínio padrão. A Microsoft é proprietária do domínio .onmicrosoft.com, portanto, uma AC pública não emitirá um certificado. Nesse cenário, crie um certificado autoassinado e use-o para configurar o LDAP seguro.
  • Um certificado autoassinado que você cria por conta própria.
    • Essa abordagem é adequada para fins de teste e isso é o que este tutorial mostra.

O certificado solicitado ou criado precisa atender aos requisitos a seguir. O domínio gerenciado encontrará problemas se você habilitar o LDAP Seguro com um certificado inválido:

  • Emissor confiável – o certificado deve ser emitido por uma autoridade confiável para os computadores que se conectarem ao domínio gerenciado usando LDAP seguro. Essa autoridade pode ser uma AC pública ou uma AC corporativa confiável nesses computadores.
  • Tempo de vida : o certificado deve ser válido por, pelo menos, os próximos três a seis meses. O acesso LDAP seguro para seu domínio gerenciado é interrompido quando o certificado expira.
  • Nome da entidade: o nome da entidade no certificado deve ser seu domínio gerenciado. Por exemplo, se o domínio for chamado aaddscontoso.com, o nome da entidade do certificado precisará ser * .aaddscontoso.com.
    • O nome DNS ou o nome alternativo da entidade do certificado precisa ser um certificado curinga para garantir que o LDAP Seguro funcione corretamente com o Domain Services. Os controladores de domínio usam nomes aleatórios e podem ser removidos ou adicionados para garantir que o serviço permaneça disponível.
  • Uso de chave – o certificado precisa ser configurado para assinaturas digitais e codificação de chave.
  • Finalidade do certificado: o certificado deve ser válido para autenticação de servidor TLS.

Há várias ferramentas disponíveis para criar um certificado autoassinado, como OpenSSL, Keytool, MakeCert, cmdlet New-SelfSignedCertificate e assim por diante.

Neste tutorial, vamos criar um certificado autoassinado para LDAP seguro usando o cmdlet New-SelfSignedCertificate.

Abra uma janela do PowerShell como Administrador e execute os comandos a seguir. Substitua a variável $dnsName pelo nome DNS usado pelo próprio domínio gerenciado, como aaddscontoso.com:

# Define your own DNS name used by your managed domain
$dnsName="aaddscontoso.com"

# Get the current date to set a one-year expiration
$lifetime=Get-Date

# Create a self-signed certificate for use with Azure AD DS
New-SelfSignedCertificate -Subject *.$dnsName `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName

A seguinte saída de exemplo mostra que o certificado foi gerado com êxito e armazenado no repositório de certificados local (LocalMachine\MY):

PS C:\WINDOWS\system32> New-SelfSignedCertificate -Subject *.$dnsName `
>>   -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
>>   -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName.com

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\MY

Thumbprint                                Subject
----------                                -------
959BD1531A1E674EB09E13BD8534B2C76A45B3E6  CN=aaddscontoso.com

Entender e exportar os certificados necessários

Para usar o LDAP Seguro, o tráfego de rede é criptografado usando a PKI (infraestrutura de chave pública).

  • Uma chave privada é aplicada ao domínio gerenciado.
    • Essa chave privada é usada para descriptografar o tráfego do LDAP Seguro. A chave privada só deve ser aplicada ao domínio gerenciado, não devendo ser amplamente distribuída aos computadores cliente.
    • Um certificado que inclui a chave privada usa o formato de arquivo .PFX.
    • Ao exportar o certificado, você deverá especificar o algoritmo de criptografia TripleDES-SHA1. Isso é aplicável somente ao arquivo .pfx e não impacta o algoritmo usado pelo próprio certificado. Observe que a opção TripleDES-SHA1 está disponível somente a partir do Windows Server 2016.
  • Uma chave pública é aplicada aos computadores cliente.
    • Essa chave pública é usada para criptografar o tráfego LDAP Seguro. A chave pública pode ser distribuída aos computadores cliente.
    • Os certificados sem a chave privada usam o formato de arquivo .CER.

Para essas duas chaves, as chaves privada e pública, garanta que apenas os computadores apropriados possam se comunicar com êxito entre si. Se você usar uma AC pública ou uma AC corporativa, será emitido um certificado para você que inclui a chave privada e pode ser aplicado a um domínio gerenciado. A chave pública já deve ser conhecida e confiável nos computadores cliente.

Neste tutorial, você criou um certificado autoassinado com a chave privada, portanto, é necessário exportar os componentes públicos e privados apropriados.

Exportar um certificado para Microsoft Entra Domain Services

Para usar o certificado digital criado na etapa anterior com o domínio gerenciado, exporte o certificado para um arquivo de certificado .PFX que inclua a chave privada.

  1. Para abrir a caixa de diálogo Executar, selecione as teclas Windows + R.

  2. Abra o MMC (Console de Gerenciamento Microsoft) inserindo mmc na caixa de diálogo Executar e, em seguida, selecione OK.

  3. No aviso Controle de Conta de Usuário, escolha Sim para iniciar o MMC como administrador.

  4. No menu Arquivo, selecione Adicionar/Remover Snap-in...

  5. No assistente Snap-in de certificados, escolha Conta de computador e, em seguida, selecione Avançar.

  6. Na página Selecionar Computador, escolha Computador local: (o computador no qual este console está sendo executado) e, em seguida, selecione Concluir.

  7. Na caixa de diálogo Adicionar ou Remover Snap-ins, escolha OK para adicionar o snap-in de certificados ao MMC.

  8. Na janela do MMC, expanda Raiz do Console. Selecione certificados (Computador Local) e, em seguida, expanda o nó Pessoal, seguido pelo nó Certificados.

    Abrir o repositório de certificados pessoais no Console de Gerenciamento Microsoft

  9. O certificado autoassinado criado na etapa anterior é mostrado, como addscontoso.com. Selecione o certificado com o botão direito do mouse e, em seguida, escolha Todas as Tarefas > Exportar...

    Exportar certificado no Console de Gerenciamento Microsoft

  10. No Assistente para Exportação de Certificados, selecione Avançar.

  11. A chave privada do certificado precisa ser exportada. Se a chave privada não estiver incluída no certificado exportado, a ação para habilitar o LDAP Seguro do domínio gerenciado falhará.

    Na página Exportar Chave Privada, escolha Sim, exportar a chave privada e, em seguida, selecione Avançar.

  12. Os domínios gerenciados só dão suporte ao formato de arquivo de certificado .PFX que inclui a chave privada. Não exporte o certificado como o formato de arquivo de certificado .CER sem a chave privada.

    Na página Exportar Formato de Arquivo, escolha Personal Information Exchange – PKCS #12 (.PFX) como o formato de arquivo para o certificado exportado. Marque a caixa Incluir todos os certificados no caminho de certificação, se possível:

    Escolha a opção para exportar o certificado no formato de arquivo PKCS 12 (.PFX)

  13. Como esse certificado é usado para descriptografar dados, você deve controlar cuidadosamente o acesso. Uma senha pode ser usada para proteger o uso do certificado. Sem a senha correta, o certificado não pode ser aplicado a um serviço.

    Na página Segurança, escolha a opção de Senha para proteger o arquivo de certificado .PFX. O algoritmo de criptografia precisa ser TripleDES-SHA1. Insira e confirme uma senha e, em seguida, selecione Avançar. Essa senha será usada na próxima seção para habilitar o LDAP Seguro para o domínio gerenciado.

    Se você exportar usando o cmdlet export-pfxcertificate do PowerShell, precisará transmitir o sinalizador -CryptoAlgorithmOption usando TripleDES_SHA1.

    Captura de tela sobre como criptografar a senha

  14. Na página Arquivo a ser exportado, especifique o nome do arquivo e o local para onde você deseja exportar o certificado, como C:\Users\<account-name>\azure-ad-ds.pfx. Anote a senha e o local do arquivo .PFX, pois essas informações serão necessárias nas próximas etapas.

  15. Na página de revisão, selecione Concluir para exportar o certificado para um arquivo de certificado .PFX. Uma caixa de diálogo de confirmação é exibida quando o certificado é exportado com êxito.

  16. Mantenha o MMC aberto para uso na seção a seguir.

Exportar um certificado para computadores cliente

Os computadores cliente precisam confiar no emissor do certificado LDAP Seguro para poderem se conectar com êxito ao domínio gerenciado usando o LDAPS. Os computadores cliente precisam ter um certificado para criptografar com êxito os dados descriptografados pelo Domain Services. Se você usar uma AC pública, o computador deverá confiar automaticamente nesses emissores do certificado e ter um certificado correspondente.

Neste tutorial, você usou um certificado autoassinado e gerou um certificado que inclui a chave privada na etapa anterior. Agora, vamos exportar e, em seguida, instalar o certificado autoassinado no repositório de certificados confiáveis no computador cliente:

  1. Volte ao MMC para o repositório Certificados (Computador Local) > Pessoal > Certificados. O certificado autoassinado criado em uma etapa anterior é mostrado, como addscontoso.com. Selecione o certificado com o botão direito do mouse e, em seguida, escolha Todas as Tarefas > Exportar...

  2. No Assistente para Exportação de Certificados, selecione Avançar.

  3. Como você não precisa da chave privada para clientes, na página Exportar Chave Privada, escolha Não, não exportar a chave privada e, em seguida, selecione Avançar.

  4. Na página Formato do Arquivo de Exportação, selecione X.509 codificado em Base64 (.CER) como o formato de arquivo para o certificado exportado:

    Escolha a opção para exportar o certificado no formato de arquivo X.509 codificado em Base64 (.CER)

  5. Na página Arquivo a ser exportado, especifique o nome do arquivo e o local para onde você deseja exportar o certificado, como C:\Users\<account-name>\azure-ad-ds-client.cer.

  6. Na página de revisão, selecione Concluir para exportar o certificado para um arquivo de certificado .CER. Uma caixa de diálogo de confirmação é exibida quando o certificado é exportado com êxito.

O arquivo de certificado .CER agora pode ser distribuído para os computadores cliente que precisam confiar na conexão do LDAP Seguro com o domínio gerenciado. Vamos instalar o certificado no computador local.

  1. Abra o Explorador de Arquivos e navegue até o local onde você salvou o arquivo de certificado .CER, como C:\Users\<account-name>\azure-ad-ds-client.cer.

  2. Selecione o arquivo de certificado .CER com o botão direito do mouse e, em seguida, escolha Instalar Certificado.

  3. No Assistente para Importação de Certificados, opte por armazenar o certificado no Computador local e, em seguida, selecione Avançar:

    Escolha a opção para importar o certificado para o repositório do computador local

  4. Quando solicitado, escolha Sim para permitir que o computador faça alterações.

  5. Escolha Selecionar automaticamente o repositório de certificados com base no tipo de certificado e, em seguida, selecione Avançar.

  6. Na página de revisão, selecione Concluir para importar o certificado .CER. Uma caixa de diálogo de confirmação é exibida quando o certificado é importado com êxito.

Habilitar o LDAP seguro para Microsoft Entra Domain Services

Com um certificado digital criado e exportado que inclua a chave privada e o computador cliente definido para confiar na conexão, agora habilite o LDAP Seguro no domínio gerenciado. Para habilitar o LDAP Seguro em um domínio gerenciado, execute as seguintes etapas de configuração:

  1. No Centro de Administração do Microsoft Entra, insira serviços de domínio na caixa Procurar recursos. Selecione Microsoft Entra Domain Services nos resultados da pesquisa.

  2. Escolha o domínio gerenciado, como aaddscontoso.com.

  3. No lado esquerdo da janela do Microsoft Entra Domain Services, escolha LDAP Seguro.

  4. Por padrão, o acesso LDAP seguro ao seu domínio gerenciado fica desabilitado. Posicione a tecla de alternância LDAP Seguro em Habilitar.

  5. O acesso do LDAP Seguro ao domínio gerenciado na Internet está desabilitado por padrão. Quando você habilita o acesso LDAP Seguro público, o domínio fica suscetível a ataques de força bruta de senha na Internet. Na próxima etapa, um grupo de segurança de rede será configurado para bloquear o acesso somente aos intervalos de endereços IP de origem necessários.

    Alterne Permitir acesso LDAP Seguro na Internet como Habilitar.

  6. Selecione o ícone de pasta ao lado do arquivo .PFX com certificado LDAP seguro. Procure o caminho do arquivo .PFX e, em seguida, selecione o certificado criado em uma etapa anterior que inclua a chave privada.

    Importante

    Conforme observado na seção anterior sobre requisitos de certificado, não é possível usar um certificado de uma AC pública com o domínio padrão .onmicrosoft.com. A Microsoft é proprietária do domínio .onmicrosoft.com, portanto, uma AC pública não emitirá um certificado.

    Verifique se o certificado está no formato apropriado. Caso contrário, a plataforma Azure gerará erros de validação de certificado quando você habilitar o LDAP Seguro.

  7. Insira a Senha para descriptografar o arquivo .PFX definida em uma etapa anterior quando o certificado foi exportado para um arquivo .PFX.

  8. Selecione Salvar para habilitar o LDAP Seguro.

    Habilitar o LDAP seguro para um domínio gerenciado no centro de administração do Microsoft Entra

Uma notificação é exibida, informando que o LDAP Seguro está sendo configurado para o domínio gerenciado. Você não poderá modificar outras configurações do domínio gerenciado enquanto essa operação não for concluída.

São necessários alguns minutos para habilitar o LDAP Seguro para o domínio gerenciado. Se o certificado LDAP Seguro fornecido não corresponder aos critérios obrigatórios, a ação para habilitar o LDAP Seguro para o domínio gerenciado falhará.

Alguns motivos comuns de falha incluem um nome de domínio incorreto, o algoritmo de criptografia do certificado não é TripleDES-SHA1 ou um certificado já expirado ou prestes a expirar. Você pode recriar o certificado com parâmetros válidos e, em seguida, habilitar o LDAP Seguro usando esse certificado atualizado.

Alterar um certificado que está expirando

  1. Crie um certificado substituto para LDAP Seguro seguindo as etapas para Criar um certificado para o LDAP Seguro.
  2. Para aplicar o certificado de substituição ao Domain Services, no menu esquerdo do Microsoft Entra Domain Services no centro de administração do Microsoft Entra, selecione LDAP Seguro e, em seguida, Alterar Certificado.
  3. Distribua o certificado para todos os clientes que se conectam usando o LDAP Seguro.

Bloquear o acesso LDAP Seguro na Internet

Quando você habilita o acesso LDAP Seguro na Internet para o domínio gerenciado, isso cria uma ameaça de segurança. O domínio gerenciado pode ser acessado pela Internet na porta TCP 636. É recomendável restringir o acesso ao domínio gerenciado aos endereços IP conhecidos específicos para o ambiente. Uma regra de grupo de segurança de rede do Azure pode ser usada para limitar o acesso ao LDAP Seguro.

Vamos criar uma regra para permitir o acesso LDAP Seguro de entrada pela porta TCP 636 em um conjunto especificado de endereços IP. Uma regra DenyAll padrão de prioridade mais baixa se aplica a todos os outros tipo de tráfego de entrada na Internet, de modo que somente os endereços especificados possam acessar o domínio gerenciado usando o LDAP Seguro.

  1. No Centro de Administração do Microsoft Entra, pesquise e selecione Grupos de recursos.

  2. Escolha o grupo de recursos, como myResourceGroup e, em seguida, selecione o grupo de segurança de rede, como aaad-nsg.

  3. A lista de regras de segurança de entrada e saída existentes é exibida. No lado esquerdo das janelas do grupo de segurança de rede, escolha Configurações > Regras de segurança de entrada.

  4. Selecione Adicionar e, em seguida, crie uma regra para permitir a porta TCP636. Para maior segurança, escolha a origem como Endereços IP e, em seguida, especifique seu próprio intervalo ou endereço IP válido para sua organização.

    Configuração Valor
    Fonte Endereços IP
    Endereços IP de origem/Intervalos de CIDR Um intervalo ou um endereço IP válido para o ambiente
    Intervalos de portas de origem *
    Destino Qualquer
    Intervalos de portas de destino 636
    Protocolo TCP
    Ação Permitir
    Prioridade 401
    Nome AllowLDAPS
  5. Quando estiver pronto, selecione Adicionar para salvar e aplicar a regra.

    Criar uma regra de grupo de segurança de rede para proteger o acesso LDAPS na Internet

Configurar a zona DNS para acesso externo

Com o acesso LDAP Seguro habilitado na Internet, atualize a zona DNS para que os computadores cliente possam encontrar esse domínio gerenciado. O Endereço IP externo do LDAP Seguro está listado na guia Propriedades do domínio gerenciado:

Exibição do endereço IP externo do LDAP seguro para seu domínio gerenciado no centro de administração do Microsoft Entra

Configure o provedor DNS externo para criar um registro de host, como ldaps, para fazer a resolução para esse endereço IP externo. Para testar localmente no computador primeiro, crie uma entrada no arquivo de hosts do Windows. Para editar com êxito o arquivo de hosts no computador local, abra o Bloco de notas como administrador e abra o arquivo C:\Windows\System32\drivers\etc\hosts.

A entrada DNS de exemplo a seguir, com seu provedor DNS externo ou no arquivo de hosts local, resolve o tráfego de ldaps.aaddscontoso.com para o endereço IP externo de 168.62.205.103:

168.62.205.103    ldaps.aaddscontoso.com

Testar consultas para o domínio gerenciado

Para se conectar e se associar ao domínio gerenciado e pesquisar no LDAP, use a ferramenta LDP.exe. Essa ferramenta está incluída no pacote das Ferramentas de Administração de Servidor Remoto. Para obter mais informações, confira Instalar Ferramentas de Administração de Servidor Remoto.

  1. Abra LDP.exe e conecte-se ao domínio gerenciado. Selecione Conexão e, em seguida, escolha Conectar... .
  2. Insira o nome de domínio DNS do LDAP Seguro do domínio gerenciado criado na etapa anterior, como ldaps.aaddscontoso.com. Para usar o LDAP Seguro, defina Porta como 636 e marque a caixa de SSL.
  3. Selecione OK para se conectar ao domínio gerenciado.

Em seguida, faça a associação ao domínio gerenciado. Os usuários (e as contas de serviço) não poderão executar associações LDAP simples se você desabilitar a sincronização de hash de senha NTLM em seu domínio gerenciado. Para obter mais informações sobre como desabilitar a sincronização de hash de senha NTLM, confira Proteger o domínio gerenciado.

  1. Selecione a opção de menu Conexão e, em seguida, escolha Associar... .
  2. Forneça as credenciais de uma conta de usuário que pertença ao domínio gerenciado. Insira a senha da conta de usuário e, em seguida, o seu domínio, como aaddscontoso.com.
  3. Em Tipo de associação, escolha a opção Associar com credenciais.
  4. Selecione OK para fazer a associação ao domínio gerenciado.

Para ver os objetos armazenados no domínio gerenciado:

  1. Selecione a opção de menu Exibir e, em seguida, escolha Árvore.

  2. Deixe o campo BaseDN em branco e, em seguida, selecione OK.

  3. Escolha um contêiner, como Usuários do AADDC e, em seguida, selecione o contêiner com o botão direito do mouse e escolha Pesquisar.

  4. Deixe os campos pré-populados definidos e, em seguida, selecione Executar. Os resultados da consulta são exibidos na janela à direita, conforme mostrado na seguinte saída de exemplo:

    Pesquisar objetos no domínio gerenciado usando o LDP.exe

Para consultar diretamente um contêiner específico, no menu Exibir >Árvore, especifique um BaseDN, comoOU=Usuários do AADDC,DC=AADDSCONTOSO,DC=COM ou OU=Computadores do AADDC,DC=AADDSCONTOSO,DC=COM. Para obter mais informações sobre como formatar e criar consultas, confira Conceitos básicos sobre consultas LDAP.

Observação

Se um certificado autoassinado for usado, verifique se o certificado autoassinado foi adicionado para que as Autoridades de Certificação Raiz Confiáveis para LDAPS funcionem com LDP.exe

Limpar os recursos

Se você adicionou uma entrada DNS ao arquivo de hosts local do computador para testar a conectividade para este tutorial, remova essa entrada e adicione um registro formal na zona DNS. Para remover a entrada do arquivo de hosts local, conclua as seguintes etapas:

  1. No computador local, abra o Bloco de notas como administrador
  2. Procure e abra o arquivo C:\Windows\System32\drivers\etc\hosts.
  3. Exclua a linha do registro adicionado, como 168.62.205.103 ldaps.aaddscontoso.com

Solução de problemas

Se você receber um erro informando que o LDAP.exe não pode se conectar, tente trabalhar com os diferentes aspectos de obter a conexão:

  1. Como configurar o controlador de domínio
  2. Como configurar o cliente
  3. Rede
  4. Como estabelecer a sessão TLS

Para a correspondência do nome da entidade do certificado, o controlador de domínio usará o nome de domínio do Domain Services (e não o nome de domínio do Microsoft Entra) para pesquisar pelo certificado no repositório de certificados. Erros de ortografia, por exemplo, impedem que o controlador de domínio selecione o certificado correto.

O cliente tenta estabelecer a conexão TLS usando o nome fornecido. O tráfego precisa chegar até o destino. O controlador de domínio envia a chave pública do certificado de autenticação do servidor. O certificado precisa ter o uso correto no certificado, o nome assinado no nome da entidade precisa ser compatível para que o cliente confie que o servidor é o nome DNS ao qual você está se conectando (ou seja, um curinga funcionará, sem erros de ortografia) e o cliente precisa confiar no emissor. Você pode verificar se há algum problema na cadeia no log do sistema em Visualizador de Eventos e filtrar os eventos em que a origem é igual a schannel. Depois que essas partes estiverem no lugar, elas formarão uma chave da sessão.

Para obter mais informações, confira Handshake de TLS.

Próximas etapas

Neste tutorial, você aprendeu a:

  • Criar um certificado digital para uso com o Microsoft Entra Domain Services
  • Habilitar o LDAP seguro para Microsoft Entra Domain Services
  • Configurar o LDAP Seguro para uso na Internet pública
  • Associar e testar o LDAP seguro para um domínio gerenciado