Python 修改AD账号密码(一)- 启用域控LDAPS
2017-07-16 15:04
696 查看
启用LDAP over SSL
原文地址:https://gist.github.com/magnetikonline/0ccdabfec58eb1929c997d22e7341e45实验环境
AD域名example.com
Windows Server 2008 R2 X64 (DC,计算机名dc.example.com )
OpenSSL (Linux或Windows,选择你熟悉的平台)
创建根证书
生成根证书,按提示输入参数$ openssl genrsa -des3 -out ca.key 4096 $ openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
此时,应该生成两个文件,根证书
ca.crt,根证书私钥
ca.key
导入根证书到域控服务器
移动根证书ca.crt到DC服务器上
打开mmc, 添加证书管理单元,选择计算机账户,本地计算机
在受信任的根证书颁发机构,导入根证书
ca.crt
为域控制器颁发证书
接下来使用根证书签发DC服务器证书 - dc.example.com在DC上执行以下步骤
创建一个新文件
request.inf填入一下内容,CN=填入你的DC完整计算机名
[Version] Signature="$Windows NT$" [NewRequest] Subject = "CN=dc.example.com" KeySpec = 1 KeyLength = 1024 Exportable = TRUE MachineKeySet = TRUE SMIME = FALSE PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12 RequestType = PKCS10 KeyUsage = 0xa0 [EnhancedKeyUsageExtension] OID = 1.3.6.1.5.5.7.3.1 ; Server Authentication
运行一下命令生成请求证书文件
C:\> certreq -new request.inf client.csr
复制
client.csr到OpenSSl环境下
- 创建一个文件
v3ext.txt填入以下内容:
``` keyUsage=digitalSignature,keyEncipherment extendedKeyUsage=serverAuth subjectKeyIdentifier=hash ```
- 根据
client.csr使用根证书签发DC的计算机证书
client.crt:
```sh $ openssl x509 -req -days 3650 -in client.csr -CA ca.crt -CAkey ca.key -extfile v3ext.txt -set_serial 01 -out client.crt ```
- 输入以下命令查看生成的
dc.example.com证书:
```sh $ openssl x509 -in client.crt -text ```
- 确保以下字段
X509v3 extensions全部包含:
-
X509v3 Key Usage: Digital Signature, Key Encipherment
-
X509v3 Extended Key Usage: TLS Web Server Authentication
-
X509v3 Subject Key Identifier
导入域控服务器证书
复制client.crt到dc服务器上,执行以下命令:
C:\> certreq -accept client.crt
打开证书管理控制台,在个人证书下,确保有以下内容:
你有一个与该证书对应的私钥
这个证书的目的如下:保护远程计算机的身份
颁发给 dc.example.com
重启AD服务加载证书
你可以选择重启计算机来加载LDAPS,或者用以下命令启用LDAPS:创建一个文件
ldap-renewservercert.txt包含以下内容:
dn: changetype: modify add: renewServerCertificate renewServerCertificate: 1 -
运行一下命令:
C:\> ldifde -i -f ldap-renewservercert.txt
测试LDAPS是否生效
从另外一台在域中的计算机,安装第一步生成的根证书ca.crt到受信任的根证书颁发机构
打开工具:
C:\> ldp.exe
按下图连接到dc.example.com
返回正常信息,说明ok.
参考
Enable LDAP over SSL with a third-party certification authority: https://support.microsoft.com/en-us/kb/321051LDAP renewServerCertificate: https://msdn.microsoft.com/en-us/library/cc223311.aspx
How to Enable LDAPS in Active Directory (similar outcome to above): http://www.javaxt.com/tutorials/windows/how_to_enable_ldaps_in_active_directory
DigiCert LDAPS certificate install guide: https://www.digicert.com/ssl-certificate-installation-microsoft-active-directory-ldap-2012.htm
相关文章推荐
- Python 修改AD账号密码(二)- 修改域账号密码
- Ubuntu 下启用root账号与修改密码
- JAVA修改AD账号密码
- Powershell管理系列(二十八)PowerShell操作之修改AD账号密码
- python paramiko多线程批量修改主机账号密码
- python-ldap修改AD域用户密码(CA+SSL)
- Ubuntu 下启用root账号与修改密码
- python批量修改服务器密码,同时保存execl表格
- 域账号通过其他方式修改密码后不重启计算机访问共享路径
- python+cookielib实现批量利用账号和密码自动获取新浪微博登录cookie
- 在Domino中修改AD密码
- python fabric简单的配置账号和密码
- 修改zabbix后台登录账号和密码,提升为超级管理员
- Python:通过远程监控用户输入来获取淘宝账号和密码的实验(一)
- 【FTP】批处理修改FTP账号的密码
- python实现linux服务器批量修改密码并生成execl
- MOSS 修改了服务器账号密码后的问题
- AD 中设定用户不能修改密码方法
- 修改AD还原目录密码
- 用Excel函数简化批量导入AD用户及修改密码 推荐