Compartilhar via


Preparar o Active Directory Lightweight Directory Services para provisionamento por meio da ID do Microsoft Entra

A documentação a seguir fornece informações de tutorial que demonstram como preparar uma instalação do AD LDS (Active Directory Lightweight Directory Services). Ela pode ser usada como um exemplo de diretório LDAP para solução de problemas ou para demonstrar como provisionar usuários por meio da ID do Microsoft Entra em um diretório LDAP.

Preparar o diretório LDAP

Se você ainda não tiver um servidor de diretório, as informações a seguir serão fornecidas para ajudar a criar um ambiente de teste do AD LDS. Essa configuração usa o PowerShell e o ADAMInstall.exe com um arquivo de respostas. Este documento não aborda informações detalhadas sobre o AD LDS. Para obter mais informações, confira Active Directory Lightweight Directory Services.

Se já tiver o AD LDS ou outro servidor de diretório, você poderá ignorar este conteúdo e continuar no Tutorial: conector LDAP genérico do host do conector ECMA para instalar e configurar o host do conector ECMA.

Crie um certificado SSL, um diretório de teste e instale o AD LDS.

Use o script do PowerShell do Apêndice A. O script executa as seguintes ações:

  1. Cria um certificado autoassinado que será usado pelo conector LDAP.
  2. Cria um diretório para o log de instalação do recurso.
  3. Exporta o certificado no repositório pessoal para o diretório.
  4. Importa o certificado para a raiz confiável do computador local.
  5. Instala a função AD LDS em nossa máquina virtual.

Na máquina virtual do Windows Server em que você está usando para testar o conector LDAP, edite o script para corresponder ao nome do computador e execute o script usando o Windows PowerShell com privilégios administrativos.

Criar uma instância do AD LDS

Agora que a função foi instalada, você precisa criar uma instância do AD LDS. Para criar uma instância, você pode usar o arquivo de resposta fornecido abaixo. Esse arquivo instalará a instância silenciosamente, sem usar a interface do usuário.

Copie o conteúdo do Apêndice B no bloco de notas e salve-o como answer.txt em "C:\Windows\ADAM" .

Agora, abra um prompt de comando com privilégios administrativos e execute o seguinte executável:

C:\Windows\ADAM> ADAMInstall.exe /answer:answer.txt

Crie contêineres e uma conta de serviço para o AD LDS

Use o script do PowerShell do Apêndice C. O script executa as seguintes ações:

  1. Cria um contêiner para a conta de serviço que será usada com o conector LDAP.
  2. Cria um contêiner para os usuários de nuvem, para o qual os usuários serão provisionados.
  3. Cria a conta de serviço no AD LDS.
  4. Habilita a conta de serviço.
  5. Adiciona a conta de serviço à função Administradores do AD LDS.

Na máquina virtual do Windows Server usada para testar o conector LDAP, execute o script usando o Windows PowerShell com privilégios administrativos.

Conceder ao SERVIÇO DE REDE permissões de leitura para o certificado SSL

Para habilitar o funcionamento do SSL, você precisa conceder permissões de leitura ao SERVIÇO DE REDE para o certificado recém-criado. Para conceder permissões, siga as etapas a seguir.

  1. Navegue até C:\Program Data\Microsoft\Crypto\Keys.
  2. Clique com o botão direito do mouse no arquivo do sistema localizado aqui. Ele será um GUID. Esse contêiner está armazenando nosso certificado.
  3. Selecionar propriedades.
  4. Na parte superior, selecione a guia Segurança.
  5. Selecione Editar.
  6. Clique em Adicionar.
  7. Na caixa, insira Serviço de Rede e selecione Verificar Nomes.
  8. Selecione SERVIÇO DE REDE na lista e clique em OK.
  9. Clique em OK.
  10. Verifique se a conta de serviço de rede tem as permissões de leitura e também de leitura e execução. Clique em Aplicar e em OK.

Verificar a conectividade SSL com o AD LDS

Agora que configuramos o certificado e concedemos as permissões da conta de serviço de rede, teste a conectividade para verificar se ela está funcionando.

  1. Abra o Gerenciador do Servidor e selecione o AD LDS à esquerda
  2. Clique com o botão direito do mouse na instância do AD LDS e selecione ldp.exe do pop-up. Captura de tela que mostra o local da ferramenta Ldp.
  3. Na parte superior do ldp.exe, selecione Conexão e Conectar.
  4. Insira as informações a seguir e clique em OK.
    • Servidor: APP3
    • Porta: 636
    • Faça uma verificação na caixa SSL Captura de tela que mostra a configuração de conexão da ferramenta Ldp.
  5. Você deverá receber uma resposta semelhante à captura de tela abaixo. Captura de tela que mostra o sucesso na configuração da conexão da ferramenta Ldp.
  6. Na parte superior, em Conexão, selecione Associar.
  7. Deixe os padrões e clique em OK. Captura de tela que mostra a operação de associação da ferramenta Ldp.
  8. Agora, você deverá se associar à instância com êxito. Captura de tela que mostra o sucesso da associação da ferramenta Ldp.

Desabilitar a política de senha local

No momento, o conector LDAP provisiona usuários com uma senha em branco. Esse provisionamento não atenderá à política de senha local em nosso servidor, portanto, vamos desabilitá-la para fins de teste. Para desabilitar a complexidade de senha em um servidor não conectado ao domínio, use as etapas a seguir.

Importante

Como a sincronização de senha contínua não é um recurso do provisionamento LDAP local, a Microsoft recomenda que o AD LDS seja usado especificamente com aplicativos federados, quando usado em conjunto com o AD DS ou ao atualizar usuários existentes em uma instância do AD LDS.

  1. No servidor, clique em Iniciar, Executar e gpedit.msc
  2. No editor de Política de Grupo Local, navegue até Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas de Conta > Política de Senha
  3. À direita, clique duas vezes em A senha precisa atender aos requisitos de complexidade e selecione Desabilitado. Captura de tela da configuração de requisitos de complexidade.
  4. Clique em Aplicar e em OK
  5. Fechar o editor de Política de Grupo Local

Em seguida, continue lendo as diretrizes para provisionar usuários por meio da ID do Microsoft Entra em um diretório LDAP a fim de baixar e configurar o agente de provisionamento.

Apêndice A – Instalar o script do PowerShell do AD LDS

O script do PowerShell a seguir pode ser usado para automatizar a instalação do Active Directory Lightweight Directory Services. Você precisará editar o script para corresponder ao seu ambiente; em particular, alterar APP3 para o nome do host do computador.

# Filename: 1_SetupADLDS.ps1
# Description: Creates a certificate that will be used for SSL and installs Active Directory Lighetweight Directory Services.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
#Declare variables
$DNSName = 'APP3'
$CertLocation = 'cert:\LocalMachine\MY'
$logpath = "c:\" 
$dirname = "test"
$dirtype = "directory"
$featureLogPath = "c:\test\featurelog.txt" 

#Create a new self-signed certificate
New-SelfSignedCertificate -DnsName $DNSName -CertStoreLocation $CertLocation

#Create directory
New-Item -Path $logpath -Name $dirname -ItemType $dirtype

#Export the certificate from the local machine personal store
Get-ChildItem -Path cert:\LocalMachine\my | Export-Certificate -FilePath c:\test\allcerts.sst -Type SST

#Import the certificate in to the trusted root
Import-Certificate -FilePath "C:\test\allcerts.sst" -CertStoreLocation cert:\LocalMachine\Root


#Install AD LDS
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ADLDS" -IncludeAllSubFeature -IncludeManagementTools 
 } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath


Apêndice B – Arquivo de resposta

Esse arquivo é usado para automatizar e criar uma instância do AD LDS. Você editará esse arquivo para corresponder ao seu ambiente; em particular, altere APP3 para o nome do host do servidor.

Importante

Esse script usa o administrador local para a conta de serviço do AD LDS. Você será solicitado a inserir a senha durante a instalação.

Se você estiver instalando o AD LDS em um controlador de domínio e não em um membro ou um servidor autônomo, precisará alterar LocalLDAPPortToListenOn e LocalSSLPortToListonOn para algo diferente das portas conhecidas para LDAP e LDAP por SSL. Por exemplo, LocalLDAPPortToListenOn=51300 e LocalSSLPortToListenOn=51301.

 [ADAMInstall]
 InstallType=Unique
 InstanceName=AD-APP-LDAP
 LocalLDAPPortToListenOn=389
 LocalSSLPortToListenOn=636
 NewApplicationPartitionToCreate=CN=App,DC=contoso,DC=lab
 DataFilesPath=C:\Program Files\Microsoft ADAM\AD-APP-LDAP\data
 LogFilesPath=C:\Program Files\Microsoft ADAM\AD-APP-LDAP\data
 ServiceAccount=APP3\Administrator
 ServicePassword=\*
 AddPermissionsToServiceAccount=Yes
 Administrator=APP3\Administrator
 ImportLDIFFiles="MS-User.LDF"
 SourceUserName=APP3\Administrator
 SourcePassword=Pa$$Word1

Apêndice C – Popular o script do PowerShell do AD LDS

Script do PowerShell para popular o AD LDS com contêineres e uma conta de serviço.

# Filename: 2_PopulateADLDS.ps1
# Description: Populates our AD LDS environment with 2 containers and a service account

# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
# Create service accounts container
New-ADObject -Name "ServiceAccounts" -Type "container" -Path "CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Creating ServiceAccounts container"

# Create cloud users container
New-ADObject -Name "CloudUsers" -Type "container" -Path "CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Creating CloudUsers container"

# Create a new service account
New-ADUser -name "svcAccountLDAP" -accountpassword (ConvertTo-SecureString -AsPlainText 'Pa$$1Word' -Force) -Displayname "LDAP Service Account" -server 'APP3:389' -path "CN=ServiceAccounts,CN=App,DC=contoso,DC=lab"
Write-Output "Creating service account"

# Enable the new service account
Enable-ADAccount -Identity "CN=svcAccountLDAP,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab" -Server "APP3:389"
Write-Output "Enabling service account"

# Add the service account to the Administrators role
Get-ADGroup -Server "APP3:389" -SearchBase "CN=Administrators,CN=Roles,CN=App,DC=contoso,DC=lab" -Filter "name -like 'Administrators'" | Add-ADGroupMember -Members "CN=svcAccountLDAP,CN=ServiceAccounts,CN=App,DC=contoso,DC=lab"
Write-Output "Adding service accounnt to Administrators role"


Próximas etapas