LDAPs (Secure LDAP) Kurulum ve Konfigürasyonu

LDAP ve LDAPs Nedir?

LDAP (Lightweight Directory Access Protocol)

• Kullanıcı, grup, bilgisayar ve diğer nesneleri merkezi bir veritabanında yönetmek için kullanılan hafif ve yaygın bir dizin erişim protokolüdür.
• Active Directory (AD), OpenLDAP gibi dizin servisleri LDAP protokolünü kullanır.
• LDAP, TCP 389 portunu kullanarak şifrelenmemiş bağlantılar sağlar.

LDAPs (Secure LDAP)

• LDAPs, LDAP trafiğini SSL/TLS ile şifreleyerek güvenli hale getirir.
• TCP 636 portunu kullanır.
• MITM (Man-in-the-Middle) saldırılarına ve şifrelerin açıkta iletilmesine karşı güvenlik sağlar.
• StartTLS ve LDAPS olmak üzere iki şifreleme yöntemi bulunur:
  • StartTLS: LDAP bağlantısını açık başlatıp, sonradan TLS şifrelemesi ekler.
  • LDAPS: Başlangıçtan itibaren SSL/TLS üzerinden çalışır.

LDAP ve LDAPs hakkında aşağıdaki yazımıda okuyabilirsiniz.

LDAPs Gereksinimleri

• OpenLDAP veya Active Directory gibi bir LDAP sunucusu
• SSL/TLS için bir sertifika (CA, Self-Signed veya Let’s Encrypt)
• TCP 636 portunun açık olması
• LDAP istemcilerinin uygun yapılandırılması

Active Directory (Windows Server) Üzerinde LDAPS Kurulumu

Active Directory’de LDAPS kullanmak için aşağıdaki adımları izleyebilirsiniz.

Dikkat! Elimizde iki adet sunucu işletim sistemi var birisi Domain Controller olarak yapılandırılırken diğeri Certificate Authority olarak yapılandırılacak.

Sertifika Yetkilisi (CA) Kurulumu

LDAPs kullanabilmek için Active Directory Certificate Services (AD CS) ile bir Sertifika Yetkilisi (CA) kurmamız gerekiyor.

Adım 1: Certificate Services Kurulumu

1. Server Manager’ı açın ve “Add roles and features” sihirbazını başlatın.
2. “Active Directory Certificate Services (AD CS)” rolünü seçin.
3. “Certification Authority (CA)” ve “Certification Authority Web Enrollment (Opsiyonel)” gibi bileşenleri seçin.
4. Kurulumu tamamlayın.

Adım 2: Sertifika Yetkilisini Yapılandırma

1. “Configuration” sihirbazını başlatın.
2. “Enterprise CA” seçeneğini seçin (Eğer bir domain ortamındaysanız).
3. “Root CA” (Kök CA) olarak yapılandırın.
4. Yeni bir private key (özel anahtar) oluşturun veya mevcut bir anahtarı kullanın.
5. Sertifika süresi için uygun bir süre belirleyin (Örn: 10 yıl).
6. Yapılandırmayı tamamlayın ve sunucuyu yeniden başlatın.

LDAPs için Sertifika Oluşturma ve Bind Etme

LDAPs, Active Directory tarafından kullanılan LDAP portunu (TCP 636) güvenli hale getirmek için sertifikaya ihtiyaç duyar.

Adım 1: Active Directory İçin Sertifika Oluşturma

1. MMC’yi açın (mmc.exe → Enter).
2. “File” → “Add/Remove Snap-in” seçeneğine gidin.
3. “Certificates” seçeneğini seçin ve “Computer Account” altında ekleyin.
4. Local Computer → seçeneğini seçin ve Finish deyin.
5. Sertifikanın yüklendiğinden emin olun.

Not:Bu işlemi hem Certificate Authority(CA) yapılandırdığınız sunucuda hem de Domain Controller olarak yapılandırılan sunucuda yapın.

LDAPs Servisini Test Etme

LDAPs servisini test etmek için LDP.exe aracını kullanabiliriz.

LDP.exe ile Test

1. LDP.exe uygulamasını açın.
2. Connection → Connect seçeneğine gidin.
3. Server Name: DC01.test.local (Sunucu FQDN isminiz)
4. Port: 636
5. SSL seçeneğini işaretleyin ve bağlanın.
6. Eğer bağlantı başarılı olursa, “Established Connection” mesajını görürsünüz.

LDAPs Bağlantısını Doğrulama

LDAPs bağlantısını doğrulamak için komut satırını kullanabiliriz.

PowerShell ile Doğrulama

Test-NetConnection -ComputerName DC01.test.local -Port 636

Sonuç

Bu adımları tamamladıktan sonra Windows Server üzerinde LDAPs (TCP 636) ile güvenli bir LDAP servisi çalıştırabilirsiniz.

• LDAPs kullanarak güvenli kimlik doğrulama sağlayabilirsiniz.
• Sertifika geçerliliğini ve bağlantıyı test ederek doğrulama yapabilirsiniz.
• Active Directory kullanıcıları için güvenli bağlantı kurabilirsiniz.