Я настроил LDAPS, но он не подключается.

Вопрос или проблема

LDAP через Secure Sockets Layer (SSL) будет недоступен в данный момент, потому что сервер не смог получить сертификат.

Дополнительные данные
Код ошибки: 8009030e Нет учетных данных, доступных в пакете безопасности

write to 0x25be4ad1e10 [0x25be4b003c0] (322 bytes => -1)
write:errno=10054
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 0 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Protocol: TLSv1.3
This TLS version forbids renegotiation.
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
read from 0x25be4ad1e10 [0x25be4a77de0] (16384 bytes => -1)

Ответ или решение

Решение проблемы с подключением LDAPS к серверу Active Directory

Вы столкнулись с проблемой при настройке LDAPS (LDAP через SSL) на сервере Active Directory, что является важным шагом для обеспечения безопасной аутентификации. Рассмотрим, как можно диагностировать и устранить данную проблему на основе предоставленной информации.

1. Подтверждение доступности сертификата

Согласно вашим данным, сервер не может получить сертификат, что указывает на то, что состояние LDAPS отключено. Давайте проверим:

• Проверка сертификата: Убедитесь, что сертификат, выданный Let’s Encrypt, корректно установлен и доступен. Он должен находиться в "Личном хранилище" для текущего компьютера и соответствовать требованиям Active Directory (например, содержать правильное имя общего хоста (Common Name) или SAN (Subject Alternative Name), указывающее на имя вашего сервера).

• Правильный ключ: Удостоверьтесь, что в ключе реестра (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP) вы указали правильный отпечаток (thumbprint) сертификата. Этот отпечаток должен быть в формате без пробелов и символов, отличных от цифр и букв A-F.

2. Верifying Root и Intermediate Certificates

Вы упоминаете, что имеете корневой сертификат ISRG Root X1 и промежуточные сертификаты r10 и r11. Проверьте следующие моменты:

• Полная цепочка сертификатов: Корневой и промежуточный сертификаты должны быть установлены в соответствующих хранилищах (Доверенные корневые центры сертификации и Промежуточные центры сертификации). Убедитесь, что ваша полная цепочка сертификатов корректно установленна.

• Проверка сертификатов: Используйте утилиты для проверки сертификатов (например, certutil) и убедитесь, что все сертификаты в цепочке действительны и не просрочены.

3. Устранение проблем с сетевым подключением

Ошибка, которую вы получаете через openssl s_client, указывает на проблемы с сетевым соединением. Проверьте следующее:

• Проверка порта 636: Убедитесь, что порт 636 (стандартный порт для LDAPS) открыт на фаерволе вашего сервера и на маршрутизаторах, которые могут находиться между клиентом и сервером.

• Настройки брандмауэра: Если вы используете Windows Firewall или другие программные средства безопасности, убедитесь, что они не блокируют порты или IP-адреса вашего клиента.

4. Дополнительные диагностики и проверки

• Логи Windows Event Viewer: Продолжайте анализировать журналы событий на сервере, особенно в разделе "Службы каталогов". Там могут быть дополнительные подсказки по данной проблеме.

• Перезапуск службы: После внесения изменений в сертификаты и настройки попробуйте перезапустить службу "Active Directory Domain Services" и "LDAP".

• Проверка на других клиентских устройствах: Попробуйте подключиться к серверу LDAPS с другого устройства или с использованием другой утилиты (например, через PowerShell). Это позволит исключить проблемы, связанные с конкретным клиентом.

5. Резюме

Проблема с подключением к LDAPS может быть вызвана неправильной конфигурацией сертификатов, блочными правилами на уровне сети или некорректными настройками сервера. Следуя вышеуказанным шагам и рекомендациям, вы сможете выявить причину сбоя и устранить её. Если ситуация не разрешится, возможно, будет полезно обратиться за помощью в сообщество или к специалистам по безопасности.