Windows 2016 server上配置Active Directory 以及Domain Controller,CA 并启用ldaps认证功能

  1. Windows 2016 安装
    通过微软官网下载iso 镜像进行安装,下载后有180的试用期。注意安装时选择带有桌面功能的数据中心版本。
    具体过程省略, 可自行搜索

  2. AD 安装配置
    系统启动后进行ad的安装配置,安装配置过程没有特殊之处。

  3. CA 安装以及配置
    具体过程省略。

  4. 证书导出
    需要注意的是,到处的是AD server的证书

  5. Ubuntu 客户端配置

    1. 安装OpenSSL 以及Ca 管理工具
      apt update && apt install openssl ca-certifcates ldap-utils

    2. 更新CA database
      mkdir /usr/share/ca-certificates/devbox/
      将导出的server的证书上传至上述创建的目录中
      编辑ca配置,加载新的证书

      root@a9ad14a3288f:/# tail -n 2 /etc/ca-certificates.conf
      mozilla/thawte_Primary_Root_CA_-_G3.crt
      devbox/server_certificate.cer

      root@a9ad14a3288f:/# update-ca-certificates
      Updating certificates in /etc/ssl/certs...
      1 added, 0 removed; done.
      Running hooks in /etc/ca-certificates/update.d...
      done.

      验证证书配置

      openssl s_client -connect WIN-2PHSJD5NH12.ad.devbox.int:636 -showcerts

      通过ldaps 连接AD server

      root@a9ad14a3288f:/# ldapsearch -x -H ldaps://WIN-2PHSJD5NH12.ad.devbox.int -D 'administrator@ad.devbox.int' -w 'Passw0rd' -b "DC=ad,dc=devbox,dc=int" "(objectclass=user)" dn