Моя цель - включить аутентификацию AD на ovirt4. Для этого требуется ldaps в моем AD. Я нашел много инструкций, как включить ldap через ssl с помощью самоподписанного сертификата (например, https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-tri-party-certification-authority), но все они описывают случай с одним контроллером домена. Как быть с двумя контроллерами домена? Должен ли я создавать сертификаты на каждой машине или, может быть, разумно создать сертификат с подстановочными знаками?
Включите ldaps на нескольких контроллерах домена AD.
Ответы (1)
Да, вам нужно создать SSL-сертификаты на обеих машинах. Оба контроллера домена требуют SSL-сертификаты, потому что, если вы подключаетесь к доменному имени, а не к конкретному имени хоста контроллера домена, вы можете циклически подключаться к любому контроллеру домена, поэтому вам понадобятся сертификаты на обоих из них. Избегайте использования сертификатов с подстановочными знаками, если вы не находитесь в лабораторном сценарии, в мире PKI они считаются серьезной угрозой безопасности. Кроме того, групповые сертификаты также не подходят для контроллера домена, поскольку полное доменное имя Active Directory контроллера домена (например, DC01.DOMAIN.COM) должно отображаться в SSL-сертификате в одном из следующих мест:
- Общее имя (CN) в поле «Тема».
- Запись DNS в расширении альтернативного имени субъекта.
Дополнительные сведения см. в MS KB 321051.