L’Active Directory Lightweight Directory Services (AD LDS) est un service de répertoire LDAP (Lightweight Directory Access Protocol) léger et flexible, offert par Microsoft. LDAPS, ou LDAP sécurisé, ajoute une couche de sécurité au protocole LDAP en chiffrant les données échangées entre le client et le serveur. Cela est essentiel pour protéger les informations sensibles stockées dans un annuaire LDAP. Cet article guide à travers les étapes pour installer et sécuriser LDAPS sur un serveur Windows en utilisant la ligne de commande.
Prérequis
Avant de commencer, assurez-vous d’avoir les éléments suivants :
- Un serveur Windows : Vous devez avoir un serveur Windows installé avec les droits d’administrateur.
- Certificat SSL valide : Obtenez un certificat SSL valide à partir d’une autorité de certification (CA) de confiance.
Étapes pour Installer LDAPS en Ligne de Commande
Étape 1 : Installer le Service AD LDS
Ouvrez une fenêtre de commande avec des privilèges administratifs et utilisez la commande suivante pour installer AD LDS :
dism.exe /online /enable-feature /featurename:ADLDS
Étape 2 : Installer le Certificat SSL
Placez votre certificat SSL dans un emplacement sécurisé sur le serveur. Assurez-vous que le compte utilisateur a les autorisations nécessaires pour accéder au certificat.
Étape 3 : Configurer LDAPS
- Configurer le Port LDAPS : Par défaut, LDAPS utilise le port 636. Vous pouvez vérifier le statut actuel du port avec la commande :shellCopy code
netsh ldap show globalparams
- Configurer le Certificat SSL : Indiquez à AD LDS d’utiliser votre certificat SSL en utilisant la commande :shellCopy code
netsh http add sslcert ipport=0.0.0.0:636 certhash=<thumbprint_certificat> appid={guid}
Remplacez<thumbprint_certificat>
par le hachage du certificat SSL. L’appid
doit être un GUID unique.
Étape 4 : Redémarrer le Service AD LDS
Redémarrez le service AD LDS pour appliquer les modifications :
net stop w3svc net start w3svc
Sécuriser LDAPS
- Firewall : Assurez-vous que le port 636 est ouvert dans le pare-feu du serveur. Utilisez la commande suivante pour ouvrir le port :shellCopy code
netsh advfirewall firewall add rule name="LDAPS" dir=in action=allow protocol=TCP localport=636
- Restrictions d’Accès : Configurez les autorisations d’accès au serveur LDAPS pour les utilisateurs et les groupes spécifiques en utilisant les outils d’administration.
- Surveillance et Journalisation : Activez la surveillance et la journalisation pour surveiller les activités sur le serveur LDAPS.
Conclusion
En suivant ces étapes, vous pouvez installer et sécuriser LDAPS sur votre serveur Windows en utilisant la ligne de commande. Assurez-vous de toujours suivre les meilleures pratiques en matière de sécurité et de tenir à jour votre serveur avec les dernières mises à jour de sécurité pour garantir la protection de vos données sensibles.