التحقق من LDAP عبر SSL/TLS (LDAPs) وشهادة CA باستخدام LDP.exe

المقدمة

عندما تقوم بإنشاء كائن مصادقة على FireSIGHT Management Center ل Active Directory LDAP عبر SSL/TLS (LDAPs)، قد يكون من الضروري في بعض الأحيان إختبار شهادة CA واتصال SSL/TLS، والتحقق مما إذا فشل كائن المصادقة في الاختبار. يشرح هذا المستند كيفية تشغيل الاختبار باستخدام Microsoft LDP.exe.

كيفية التحقق

قبل البدء

قم بتسجيل الدخول إلى كمبيوتر محلي في Microsoft Windows باستخدام حساب مستخدم له امتياز إداري محلي لتنفيذ الخطوات على هذا المستند.

ملاحظة: إذا لم يكن لديك حاليا LDP.exe متوفر على نظامك، فيجب عليك أولا تنزيل أدوات دعم Windows. يتوفر هذا على موقع Microsoft على الويب. بمجرد تنزيل أدوات دعم Windows وتثبيتها، اتبع الخطوات التالية.

قم بإجراء هذا الاختبار على كمبيوتر محلي يعمل بنظام التشغيل Windows لم يكن عضوا في مجال، حيث إنه سيضمن الجذر أو مرجع مصدق للمؤسسة إذا انضم إلى مجال. إذا لم يعد الكمبيوتر المحلي موجودا في مجال ما، فيجب إزالة شهادة المرجع المصدق الجذر أو شهادة المؤسسة من مخزن مراجع التصديق الجذر الموثوق به للكمبيوتر المحلي قبل إجراء هذا الاختبار.

خطوات التحقق

الخطوة 1: بدء تطبيق ldp.exe. انتقل إلى القائمة ابدأ وانقر فوق تشغيل. اكتب ldp.exe واضغط الزر موافق.

الخطوة 2: الاتصال بوحدة التحكم بالمجال باستخدام FQDN لوحدة التحكم بالمجال. للاتصال، انتقل إلى الاتصال > الاتصال وأدخل FQDN لوحدة التحكم بالمجال. ثم حدد SSL، حدد المنفذ 636 كما هو موضح أدناه وانقر فوق موافق.

الخطوة 3: إذا لم يكن المرجع المصدق للمؤسسة أو الجذر موثوقا به على كمبيوتر محلي، فإن النتيجة تبدو كما يلي. تشير رسالة الخطأ إلى أن الشهادة التي تم تلقيها من الخادم البعيد تم إصدارها من قبل مرجع مصدق غير موثوق به.

الخطوة 4: تؤدي تصفية رسائل الحدث على كمبيوتر Windows المحلي مع المعايير التالية إلى توفير نتيجة محددة:

• مصدر الحدث = قناة 
• معرف الحدث = 36882

الخطوة 5: إستيراد شهادة المرجع المصدق إلى مخزن شهادات كمبيوتر Windows المحلي.

i. تشغيل Microsoft Management Console (MMC). انتقل إلى القائمة ابدأ وانقر فوق تشغيل. اكتب mmc واضغط على الزر موافق.

2. إضافة الأداة الإضافية لشهادة الكمبيوتر المحلي. انتقل إلى الخيارات التالية في قائمة الملف:

إضافة/أداة إضافية عن بعد > شهادات > إضافة > أختر "حساب الكمبيوتر" > الكمبيوتر المحلي: (الكمبيوتر الذي تعمل عليه وحدة التحكم هذه) > إنهاء موافق.

ثالثا - إستيراد شهادة المرجع المصدق.

جذر وحدة التحكم > الشهادات (كمبيوتر محلي) > مراجع التصديق الجذر الموثوق بها > الشهادات>انقر بزر الماوس الأيمن > جميع المهام>إستيراد.

• طقطقت بعد ذلك واستعرض إلى Base64 يرمز X.509 شهادة (*.cer، *.crt) CA شهادة مبرد. ثم حدد الملف.
• انقر على فتح > التالي وحدد وضع كل الشهادات في المخزن التالي: مراجع التصديق الجذر الموثوق فيها.
• انقر فوق التالي > إنهاء لاستيراد الملف.

iv. تأكد من أن CA مدرج مع CA الجذر الآخر الموثوق به.

الخطوة 6: اتبع الخطوة 1 و 2 للاتصال بخادم AD LDAP عبر SSL. إذا كانت شهادة المرجع المصدق صحيحة، فيجب أن تكون الأسطر العشرة الأولى في الجزء الأيمن من ldp.exe كما يلي:

نتيجة الاختبار

إذا نجحت شهادة واتصال LDAP في هذا الاختبار، فيمكنك تكوين كائن المصادقة ل LDAP عبر SSL/TLS بنجاح. ومع ذلك، إذا فشل الاختبار بسبب تكوين خادم LDAP أو مشكلة في الشهادة، فيرجى حل المشكلة على خادم AD أو تنزيل شهادة CA الصحيحة قبل تكوين كائن المصادقة على مركز إدارة FireSIGHT.

المستندات ذات الصلة

• تعريف سمات كائن LDAP لخدمة Active Directory لتكوين كائن المصادقة
• تكوين كائن مصادقة LDAP على نظام FireSIGHT