配置ldap
安全LDAP(LDAPS)允许您为Active Directory管理的域启用安全轻量级目录访问协议,以通过SSL(安全套接字层)/TLS(传输层安全)提供通信。
默认情况下,客户端和服务器应用程序之间的LDAP通信不加密。使用LDAPS (SSL/TLS)的LDAP协议,可以保护Linux VDA与LDAP服务器之间的LDAP查询内容。
以下Linux VDA组件对LDAPS有依赖关系:
- 代理代理:在交付控制器上注册Linux VDA
- 政策服务:政策评估
配置LDAP包括:
- 在Active Directory(AD)/ LDAP服务器上启用LDAP
- 导出根CA供客户端使用
- 在Linux VDA上启用/禁用LDAPS
- 为第三方平台配置LDAPS
- 配置SSSD
- 配置Winbind
- 配置中心化
- 配置任务
注:
您可以运行以下命令来设置LDAP服务器的监视周期。默认值为15分钟。将其设置为至少10分钟。
/ opt / citrix / vda / bin / ctxreg create -k“hklm \ software \ citrix \ virtualdesktopagent”-v“listofldapservers moniterperoid”-t“reg_dword”-d“0x0000000f”--force <! - caltcopy - >
在AD/LDAP服务器上启用LDAP
您可以通过安装来自Microsoft证书颁发机构(CA)或非Microsoft CA的格式化正确的证书来启用LDAP over SSL (LDAPS)。
提示:
LDAP over SSL/TLS (LDAP over SSL/TLS)是在域控制器上安装Enterprise根CA时自动启用的。
有关如何安装证书和验证LDAPS连接的更多信息,请参阅如何使用第三方证书颁发机构启用SSL的LDAP在微软支持网站上。
当您有一个多层(如双层或三层)证书颁发机构层次结构时,您不会在域控制器上自动具有适当的LDAPA身份验证证书。
有关如何使用多层证书颁发机构层次结构为域控制器启用LDAP的信息,请参阅LDAP over SSL(LDAPS)证书关于Microsoft TechNet站点的文章。
启用客户端使用的根证书颁发机构
客户必须使用LDAP服务器信任的CA中使用证书。要使客户端启用LDAPA身份验证,请将根CA证书导入受信任的密钥库。
有关如何导出根CA的详细信息,请参见如何导出根证书颁发机构证书在微软支持网站上。
在Linux VDA中启用/禁用LDAPS
要在Linux VDA上启用或禁用LDAP,请运行以下脚本(以管理员身份登录):
此命令的语法包括以下内容:
使用提供的根CA证书启用LDAP over SSL/TLS:
/opt/Citrix/VDA/sbin/enable_ldaps.sh-enable pathToRootCA<--需要复制-->启用通道绑定的LDAP over SSL/TLS:
/opt/Citrix/VDA/sbin/enable_ldaps.sh-Enablecb pathToRootCA<--需要复制-->注:
通道绑定的根CA证书必须以PEM格式为单位。如果启用LDAPS未成功创建Python3虚拟环境,请按照说明手动创建它创建Python3虚拟环境.
要解决使用pip工具时可能遇到的SSL连接错误,请考虑将以下可信主机添加到/etc/pip.conf文件中:
[全球]可信主机=pypi.orgfiles.pythonhosted.org退回到不使用SSL/TLS的LDAP
/opt/Citrix/VDA/sbin/enable_ldaps.sh-Disable<--需要复制-->LDAPS专用的Java密钥存储位于/etc/xdl/keystore..受影响的注册表项包括:
HKLM\Software\Citrix\VirtualDesktopAgent\ listfldapservers HKLM\Software\Citrix\VirtualDesktopAgent\ listfldapservers forpolicy HKLM\Software\Citrix\VirtualDesktopAgent\UseLDAPS HKLM\Software\Policies\Citrix\VirtualDesktopAgent\Keystore HKLM\Software\Citrix\VirtualDesktopAgent\EnableChannelBinding 为第三方平台配置LDAP
除了Linux VDA组件之外,一些遵守VDA的第三方软件组件也可能需要安全LDAP,如SSSD、Winbind、Centrify和Quest。以下各节介绍如何使用LDAP、STARTTLS或SASL签名和盖章配置安全LDAP。
提示:
并非所有这些软件组件都喜欢使用SSL端口636来确保LDAP的安全性。大多数时候,LDAPS(端口636上的SSL LDAP)不能与端口389上的STARTTLS共存。
SSSD
根据选项在端口636或389上配置SSSD安全LDAP流量。有关更多信息,请参见SSSD LDAP Linux手册页.
温宾德
Winbind LDAP查询使用ADS方法。Winbind仅支持端口389上的StartTLS方法。受影响的配置文件是/etc/samba/smb.conf和/etc/openldap/ldap.conf(RHEL)或/etc/ldap/ldap.conf(对于Ubuntu)。按如下方式更改文件:
smb.conf
ldap ssl=启动tlsLDAP SSL ADS = YES客户端LDAP SASL包装=平原ldap.conf
TLS_REQCERT永远不会
另外,可以通过SASL GSSAPI签名和密封配置安全LDAP,但它不能与TLS/SSL共存。如果要使用SASL加密,请修改smb.conf配置:
Ldap SSL =关闭Ldap SSL ads = no客户端ldap sasl包装=密封
居中
Centrify不支持端口636上的LDAPS。但是,它确实在端口389上提供安全的加密。有关更多信息,请参阅点心网站.
探索
Quest身份验证服务不支持端口636上的LDAP,但它使用不同的方法在端口389上提供安全加密。
故障排除
当您使用此特性时,可能会出现以下问题:
LDAPS服务可用性
检查AD/LDAP服务器上的LDAPS连接是否可用。默认端口为636。
启用LDAP时,Linux VDA注册失败
验证是否正确配置了LDAP服务器和端口。首先检查根CA证书,并确保它与AD / LDAP服务器匹配。
不正确的注册表更改
如果不小心更新了LDAPS相关的密钥而没有使用enable_ldaps.sh,可能会破坏LDAPS组件的依赖关系。
LDAP流量没有通过Wireshark或其他网络监控工具使用SSL/TLS加密
默认情况下,LDAPS处于禁用状态。跑/opt/citrix/vda/sbin/enable_ldaps.sh.强迫它。
没有来自Wireshark或任何其他网络监控工具的LDAPS流量
当Linux VDA注册和组策略评估发生时,会发生LDAP / LDAPS流量。
通过在AD服务器上运行LDP Connect无法验证LDAPS可用性
使用AD FQDN而不是IP地址。
执行/opt/Citrix/VDA/sbin/enable_ldaps.sh脚本导入根CA证书失败
提供CA证书的完整路径,并验证根CA证书的类型是否正确。它应该与支持的大多数Java键工具类型兼容。如果未在支持列表中列出,则可以先转换类型。如果遇到证书格式问题,建议使用base64编码的PEM格式。
使用Keytool -list显示根CA证书失败
当您通过运行
/opt/citrix/vda/sbin/enable_ldaps.sh.,则证书导入到/etc/xdl/。密钥库,密码设置为保护密钥库。如果忘记了密码,可以重新运行脚本来创建密钥存储库。