Моя цель - включить аутентификацию AD на ovirt4. Для этого требуется ldaps в моем AD. Я нашел много инструкций, как включить ldap через ssl с помощью самоподписанного сертификата (например, https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-tri-party-certification-authority), но все они описывают случай с одним контроллером домена. Как быть с двумя контроллерами домена? Должен ли я создавать сертификаты на каждой машине или, может быть, разумно создать сертификат с подстановочными знаками?
Включите ldaps на нескольких контроллерах домена AD.
comment
Кто-то ответил на ваш вопрос, и вы написали в ответ Большое спасибо! Оно работает!. Почему вы не нажали на серую галочку, чтобы принять ответ? Вы должны признать ответчика таким образом, когда ответ работает для вас, иначе люди могут стать недовольны вами. Просто мои два цента....
- person John R Smith schedule 11.05.2017
Ответы (1)
Да, вам нужно создать SSL-сертификаты на обеих машинах. Оба контроллера домена требуют SSL-сертификаты, потому что, если вы подключаетесь к доменному имени, а не к конкретному имени хоста контроллера домена, вы можете циклически подключаться к любому контроллеру домена, поэтому вам понадобятся сертификаты на обоих из них. Избегайте использования сертификатов с подстановочными знаками, если вы не находитесь в лабораторном сценарии, в мире PKI они считаются серьезной угрозой безопасности. Кроме того, групповые сертификаты также не подходят для контроллера домена, поскольку полное доменное имя Active Directory контроллера домена (например, DC01.DOMAIN.COM) должно отображаться в SSL-сертификате в одном из следующих мест:
- Общее имя (CN) в поле «Тема».
- Запись DNS в расширении альтернативного имени субъекта.
Дополнительные сведения см. в MS KB 321051.
person
T-Heron
schedule
16.03.2017
Поскольку мы ответили на ваш вопрос, пожалуйста, отметьте его как таковой, что подтвердит его для других в сообществе; в противном случае, пожалуйста, дайте нам знать, если таковые имеются.
- person T-Heron; 10.05.2017
