Вопрос или проблема
Я, похоже, споткнулся о свои собственные ноги.
Играя на сервере Windows 2008 R2 (настроенном как контроллер домена), я был заинтригован определённым предупреждающим событием (идентификатор события 2886), в котором говорится:
«Для повышения безопасности серверов каталогов вы можете настроить как службы Active Directory Domain Services (AD DS), так и службы Active Directory Lightweight Directory Services (AD LDS) так, чтобы они требовали подписанных привязок Lightweight Directory Access Protocol (LDAP).»
Так что я бездумно что-то поискал в Google и настроил соответствующие политики, которые заставляют подписывать LDAP. Теперь я не помню, но, возможно, я сделал это, используя локальную политику.
Теперь я настроил бокс pfsense, который должен аутентифицировать пользователей AD через LDAP. Хотя брандмауэр может общаться по защищённому каналу, управлять этим же для других пакетов, таких как Squid и SquidGuard, трудно. Поэтому теперь мне нужно отключить, т.е. отменить эти изменения в политике.
Проблема в том, что они серые!
Речь идёт о политиках подписывания сервера LDAP и подписывания клиента LDAP. Я не помню, что я сделал, но когда я получаю доступ к этим политикам из редактора локальной политики на сервере, они установлены на «Требовать подписания» и серые. Те же политики всё ещё можно установить через опцию «Политика контроллера домена по умолчанию» в редакторе групповых политик.
Так как же я могу сбросить эти серые политики?
Спасибо
Обновление:
Я отредактировал реестр:
Найдите и затем щелкните по следующему подразделу реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Щелкните правой кнопкой мыши по записи реестра LDAPServerIntegrity и выберите Изменить. Измените значение данных на 1 (это было 2), и затем нажмите OK.
Параметр «Требования к подписанию сервера LDAP в контроллере домена» в локальной политике теперь установлен на «нет». Ранее значение было «Требовать подписания». Однако он по-прежнему серый. Почему он серый… я не понимаю.
Бокс pfsense теперь мог аутентифицировать пользователей через LDAP… но после перезагрузки системы политика снова была сброшена на «Требовать подписания».
Так что… проблема сохраняется.
Я знаю, что это довольно старый вопрос, но так как я снова наткнулся на это, я хотел бы поделиться своим опытом.
У меня также была проблема, что настройки для «Требования к подписанию сервера LDAP в контроллере домена» были серыми. Оказалось, что я использовал неправильный компонент для mmc.exe. Вам нужно использовать Редактор управления групповыми политиками, как показано здесь. При добавлении компонента перейдите в Обзор и добавьте объект Политика контроллеров домена по умолчанию из вашего узла Контроллеры домена. После этого вы должны иметь возможность редактировать упомянутые настройки, как показано здесь. Также обратите внимание на другой значок перед настройкой по сравнению с настройками Локальной политики компьютера, где настройки для подписывания LDAP серые (показаны здесь).
Также есть отличный блог пост, который очень мне помог.
Ответ или решение
Отключение подписывания LDAP на Windows PDC через локальную политику
В вашей ситуации с отключением подписывания LDAP на Windows Server 2008 R2, который настроен как контроллер домена, необходимо учесть несколько ключевых моментов, чтобы добиться успешного результата. Также важно отметить, что изменение данных параметров через локальную политику может вызвать сложности, особенно если настройки были изменены через групповую политику.
1. Понимание проблемы
Вы столкнулись с проблемой, когда параметры "Требовать подпись LDAP сервера" и "Требовать подпись клиента LDAP" были установлены в локальной политике, но оказались заблокированными для изменения. Эта блокировка часто вызвана тем, что параметры контролируются общей групповой политикой на уровне домена, что в свою очередь затрудняет их изменение в локальной политике.
2. Применение редактора групповых политик
Чтобы изменить эти параметры, вам нужно использовать редактор групповых политик (Group Policy Management Editor), а не локальную политику. Выполните следующие шаги:
- Откройте командную строку и введите
mmc. - В меню выберите "Файл" → "Добавить/удалить оснастку".
- Выберите "Диспетчер групповых политик" и нажмите "Добавить".
- Когда появится окно, выберите "Объект групповой политики" и нажмите "Обзор".
- Найдите и выберите "Default Domain Controllers Policy" из узла "Контроллеры домена" (Domain Controllers).
- Нажмите "Готово", затем "OK".
Теперь вы можете перейти к параметрам подписывания LDAP, которые не будут заблокированы для изменения.
3. Настройка параметров
После того, как вы открыли политику по умолчанию контроллеров домена, выполните следующие действия:
- Перейдите к разделе Конфигурация компьютера → Политики → Windows Настройки → Безопасность → Локальные политики → Параметры безопасности.
- Найдите следующее:
- Контроллер домена: требования к подписанию сервера LDAP
- Контроллер домена: требования к подписанию клиента LDAP
- Установите оба параметра на "Нет".
4. Изменения в реестре
Вы упомянули, что изменяли параметры в реестре. Убедитесь, что вы используете правильные значения. Параметр LDAPServerIntegrity должен быть установлен в 1 для отключения подписывания. Также помимо изменений через реестр, рекомендуется убеждаться, что существуют соответствующие параметры на уровне групповой политики.
5. Проблема с озабоченностью
Если после перезагрузки сервера настройки возвращаются к состоянию "Требовать подпись", это может указывать на то, что групповые политики применяются заново, игнорируя изменения в реестре. Это означает, что:
- Изменения, внесенные в локальную политику, были затенены параметрами групповой политики.
- Вам необходимо обеспечить, чтобы изменения в групповой политике по умолчанию контроллеров домена были правильно применены и предотвратили переопределение после перезагрузки.
6. Дополнительные ресурсы
Для более подробной информации и дополнительных руководств, рекомендую обратиться к следующим ресурсам:
- Как требовать подписывание LDAP в Windows Server.
- Документация Microsoft по групповым политикам и настройке сервера.
Заключение
Управление политиками безопасности в Windows Server может быть сложным из-за взаимодействия локальных и групповых политик. Используя правильные инструменты и обеспечивая правильные настройки, вы сможете успешно отключить подписывание LDAP. Важно тщательно следить за применением политики и понимать, как изменения влияют на вашу инфраструктуру.