Cómo habilitar LDAP iniciar sesión en Windows Server 2008

5/10/2018 Cmo habilitar LDAP iniciar sesin en Windows Server 2008

1/5

Id. de articulo: 935834 - Ultima revision: martes, 14 de dic iembre de 2010 - Version: 1.0Como habilitar LDAP iniciar seslen en Windows Server 2008~jHaga elic aqu i para ver en para lelo e l art iculo de traduccion autornatica y el ar ticu lo or ig inal en ingles.~ Adver tencia : Ar ticu lo de Traducdcn Automat ica, yea la exencicn de responsabi lidad.

PUBL ICACION RAP iDA

PUBUCACI6N RAPIDAARTicULOS PROPORCIONAN INFORMACI6N DERESPUESTAEMERGENTES 0TEMAS UNICOS Y SEPUEDEACTUAUZAR COMONUEVA INFORMACI6N DISPONIBLE.

INTRODUCCI6N

La seguridad deunservidor de directorio se puede mejorar significativamenteal configurar e l servidor para rechazar la autent icaclon simple y n ivel deseguridad (SASL)Enlaces LDAP que no solici ten la f irma (comprobacion deintegr idad) y los en laces LDAP simples que se real izan en una conexion detexto sin cifrar (no SSL/TLS-cifrados).SASLs puede ineluir protocolos comoNegotiate, Kerberos, NTLM 0 implicita.

EI t raf lco de red sin f irmar es susceptible a ataques de reproducclonen elqueun intruso intercepta el intento de autenticacion y e l error .ancede un vale.EI intruso puede reut il izar e l vale para suplantar al usuar iolegi timo.Addit ional ly , el t raf lco de red sin f irmar es susceptible a ataques deintermediar ioen e l queun intruso captura paquetes entre el c lien te y e lservidor, cambia los paquetes y, a continua cion, los reenvia al servidor.Siseproduce en un servidor LDAP,un atacantepuedehacer que un servidor tomedecisiones basandose en un falso las solici tudes del e liente LDAP.

En este articulo se desc ribe como conf igurar el servidor de direc torio paraprotegerla contra estos ataques.

Mas informacion

Introduccion a 105 clientes que no utiliceelRRequerir firmaopcion

Los clientes quese basan en SASLsin signo (Negotiate, Kerberos, NTLM 0implici ta) enlaza de LDAP0 LDAP simple se enlaza a traves de una conexlonque no son SSL/TLSdejar de funcionarOespues de real izarEste cambio deconflquracion, Para ayudar aidenti ficarestos elientes, el servidor dedi rector io registrosun evento de resumen" 2887una vez cada 24 horas paraindicar los enlaces de este tipo se ha producido.Se recomiendaconfigurarthese los e lientes para que no uti l ice estos en laces.Despues deNo hayeventosde este tipo se observan durante un periodo prolongado, se recomienda queconfigure el servidor para rechazar estos en laces.

S ise requiere informacion mas detal lada para identi ficar a dichos clientes, sepuede conf igurar e l servidor de di rector io para proporc ionar mas deta lladosde inicio de sesions, Este registro ad ic ional se reqistrara unsucesozssscuando un eliente trata de un enlace LDAP sin signo. EIregistroMostrarselDi reccion IPdel c lien te y la identidad que el c lien telntentoutll lzar paraautenticar. Este registro adicional que se puede habil itarestableciendo laSucesos de interfaz LDAPdiagnost ico si se establece en 2(Basic). Para obtener mas in formacion acerca de como cambiar laconfiquradon de dlaqnost ico, v is ite e l s iguiente sit io Web de Microsof t:http://go.Microsoft.com/?linkid=9645087 (http://go.microsoft.com[llinkid=9645087)

Si el servidor de direc torio esta configurado rechazar LDAP sin signo de SASLenlaza 0 LDAP simple se enlaza a traves de una conex ion que no son SSL/TLS,el servidor de di rector io reqistrara un suceso de resumen2888una vez cada24hours, cuando se produzcan estos intentos de enlace.
http://go.microsoft.com/?linkid=9645087http://go.microsoft.com/?linkid=9645087


2/5

Configurar el diredorio para que requiera la firma de servidorLDAPMediante la directiva de grupoConfiguracion de los requisitos de firma de servidor LDAP

1. Haga elieenlniciar, haga elieenEjecutar, tipoMMC.exey, acontinua cion, haga elieenACEPTAR

2. EnelArchivomenu, haga elieenAgregar 0 quitar complemento.3. Ene lAgregar 0 qui tar complementoseuadro de dialoqo, haga el ie

enEdi tor de administ racion de directiva de grupo, haga el ieenAgregar.

4. Ene lSeleccionar un objeto de di rectiva de grupoeuadro de dlaloqo,haga elie enExaminar.

5. Ene lBuscar un objeto de direct iva de grupoeuadro de dialoqo, hagaelieenDirectiva predeterminada de dominioEn la eolumnaDominios,unidades organizativas y objetos de direct iva de grupovinculadosarea y despues haga elieenACEPTAR

6. Haga elieenFin.7. Haga elieenACEPTAR8. ExpandaDirectiva predeterminada de control adores de

dominioExpandaConfiguracion delequipoExpandaDirectivasExpandaConfiguracion deWindowsExpandaConfiguracion de seguridadExpandaDirectivaslocalesy, a continuacion, haga elieenOpciones de seguridad.

9. Con el boton seeundarioControlador de dominio: requisitos de firmade servidor LDAPy,a continuacion, haga elieenPropiedades.

10. Ene lControlador de dominio: propiedades de los requisitos defirma de servidor LDAPeuadro de dialoqo, habilitarDefinir estaconfiguracion de directiva,Haga eliepara habilitarRequiere firmaenelDefinir esta configuracion de directivalista desplegable y haga elieenACEPTAR

11. Haga elieenSien elConfirmar cambio de configuracioneuadro dedialoqo.

Configuracion de los requisitos de firma de cl iente LDAP1. Haga elieenlniciar, haga elieenEjecutar, tipoMMC.exey, a

continua cion, haga die enACEPTAR2. EnelArchivomenu, haga elieenAgregar 0 quitar complemento.3. Ene lAgregar 0 qui tar complementoseuadro de dialoqo, haga die

enEditor de objetos de directiva de grupo,y, a continuacionl+aqa elieenAgregar.

4 . Haga elieenFin.5. Haga elieenACEPTAR6. ExpandaDirectiva de equipo 10calExpandaConfiguracion del

equipoExpandaDirectivasExpandaConfiguracion deWindowsExpandaConfiguracion de seguridadExpandaDirectivaslocalesy, a continuacion, haga elieenOpciones de seguridad.

7. Con el boton seeundarioSeguridad de red: requisitos de fi rma declientey, a continua cion, haga die enPropiedades.

8. Ene lSeguridad de red: propiedades de los requisitos de firma declienteeuadro de dialoqo.Haqa die para habilitarRequiere firmaen lalista desplegable y haga elieenACEPTAR

9. Haga elieenSien elConfirmar cambio de configuracioneuadro dedialoqo.

Para obtener mas informacion, haga die en el nurnero de articulo siguientepara verlo en Microsoft Knowledge Base:

823659 (http://support.microsoft.com/kb/823659!)Problemas deeompatibilidad que pueden producirse entre elientes, servicios yprogramas al modifiear la ccnflquracion de seguridad y la asiqnaclcnde dereehos de usuario

Uso de las claves del registroPara que nos eambiar las elaves del registro para el vaya a la "Corregi r el


3/5

PIUUIt:: ll Id Pdld ITII : :, t: :l .l .IUI I we. ':'1 Ut::::,t::d l.dlllUldl Id::' 1.IdVt::::, ue It::YI::'LlU, Pdldello, vaya a la "Voya corregir el problema yo mlsmorsecdon de.

Corregir el problema para mi

Para solucionar este problema de forma automat ica, haga elic en elCorregirel preblemaboton 0 vinculo. Haga elic enEjecutaren elDescarga dearchivosdialogo cuadro y siga los pasos de la revis ion, el as istente .

Solucionar el problemaMicrosof t F ix i t 50518

Notas Este asistente puede es tar en ingles solamente. Sin embargo, la

cor reccion autornat ica tarnbien funciona para otras versiones deidioma de Windows .

Si no utiliza el equipo que tiene el problema, guarde la solucion lasolucion a una unidad f lash 0 un CD y, a continuaclon, ejecutelo en e lequipo que t iene e l problema.

A continuacion, vaya a la " tEsto soluciona e l problemaj=secdon de.

Voy a corregir el problema yo mismoImportanteEsta seccion, el metoda 0 la tarea se expliean los pasos que Ieindican como modif icar e l reg istro. S in embargo, pueden produci r gravesprob lemas si modif ica incorrectamente e l registro . Por 1 0 tanto, asequrese deque siga estos pasos cuidadosamente. Para obtener mas proteccion, cop iade seguridad del reg istro antes de modi ficar lo. A continuadon, puederestaurar el registro s i surge a lqun problema. Para obtener mas informacionace rca de como hacer copia de seguridad y res taurar el registro, haga elic enel nurnero de art iculo s iguiente para ver lo en Microsof t Knowledge Base:

322756 (http://support.microsoft.com/kb/322756f)Como hacer copia desegur idad y restaurar el registro de Windows

1. Haga elie enlniciar, haga elie enEjecutar, tipoRegedity, a continuacion,haga elic enACEPTAR

2. Busque y haga elieen la siguiente subelave del Registro :HKEY_LOCAL_MACHINE\SYSTEM\CurrentControISet\Serviees\NTDS\Parameters

3. Haga elic con el boton secundario del mouse (raton) en elarchivoLDAPServerlntegrityentrada del registro y haga elicenModificar.

4. CambioDatos de valorpara2y, a continuacion, haga elie enACEPTAR5. Busque y haga elieen la siguiente subelave del Registro :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControISet\Serviees\ldap\Parameters

6. Haga elie con el boton secundario del (raton) en elarchivoldapclientintegrityentrada del regist ro y haga elic enModificar.

7. Cambie el valorDatos de valorpara2y, a continua cion, haga elicenACEPTAR

Para servicios de Active Directory L ightweight Directory (AD LDS), la e lave delregistro no esta disponible de forma predeterminada.Por 1 0 tanto,ydebecrear OUunRegistro LDAPServerlntegrityentradadel tipo REG_DWORDbajolasiguiente subelave del registro:


4/5

n"l: '_LV\,.,ML_IVIM,.,n.LI'Il: \~, ~ I l:IVI \\,.,UII CI IL\,.,UILUI~CL\~CI VIIC;)\III:;)LaIIL..CI'IaIIIC\ra

rametersNotainstanceNamees el nombre de la instancia AD LDSlo que desee cambiar.Compruebe los cambios de configuracion

1. Haga elic enlniciar, haga elic enEjecutar, t ipoLDP.exey, a continuaci6n,haga elic enACEPTAR

2. En la columnaConexionmenu, haga elic enConectar.3. Escriba el nombre del servidor y que no son TLS/SSL el puerto de su

servidor de directorio en elServidorcampo y elPuertocampo y, acontinuaci6n,seleccioneACEPTARNotaPara un contro lador de dominic de Active Directory, e l puer tocor respondiente es e l 389.

4. Despues de estab lecer una conexi6n, seleccioneEnlazarEn lacolumnacenexlenmenu

5. BajoTipo de enlace, seleccioneEnlace senci llo.6. Escriba el nombre de usuario y contraseiia y, a continuaci6n, haga elic

enACEPTAR

Ha configurado cor rectamente e l serv idor de d irector io s i recibe e l mensajede error siguiente:Ldap_simple_bind_sO Error: se requiere una autenticaci6n segura

,Es to soluciona el problema? Compruebe si el problema esta resuelto. Si se soluciona el problema,

haya terminado esta secci6n. Si no se soluciona el problema,puedeP6ngase en contacto con sopor te tecnico(http://support.microsoft.com/contactus) .

Agradecer iamos sus comentarios. Para rea lizar comentar ios 0 informarde cualquier problema con esta soluc i6n, deja un comentario en el"Corregir el problema para mi (http://blogs.technet.com/fixit4mef) "blog 0envienos unmensaje de correo electr6nico (mailto:[email protected]?Subject= KB) .

Exclusion de garant ias

NI MICROSOFT NI SUS RESPECTNOS PROVEEDORES MARCA LAIDONEIDADDE LAINFORMACION CONTENIDA EN LOS DOCUMENTOS V GRAACOSRELACIONADOS PUBUCADOS EN ESTEsm o WEB CON CUALQUIERPROPOSrrO. LOS DOCUMENTOS V GRAACOS RELACIONADOS PUBUCADOSEN ESTEsm o WEB PODRiAN INCLUIR IMPRECISIONES TECNICAS 0 ERRORESTIPOGRAACOS. PERIODICAMENTE PUEDEN AGREGARSE CAMBIOS A LAINFORMACION DE ESTEDOCUMENTO. MICROSOFT V/O SUS RESPECTNOSPROVEEDORES PUEDEN REALIZARMEJORAS V/O CAM BIOS EN LOSPRODUCTOS (S) 0 ELPROGRAMA DE (S) EN ELSEDESCRIBEEN CUALQUIERMOMENTO.

Para obtener mas informaci6n sobre las condiciones de uso, haga elic en elvinculo siguiente:http://supporlMicrosoftcom/tou/ (http://support.microsoft.com/touf)

La informacion de este articulo se refiere a:Palabras clave: kbrap idpub kbhowto kbexper tise inter kbsurveynew kbinfo

kbfixme kbmsifixme kbmt KB935834 KbMtes~ Traduccion automat icaIMPORTANTE: Este art iculo ha sido traducido por un software de traducci6nautornat ica de Microsof t (ht tp :/ /supporlmicrosof t.com/gp/mtdeta ils) en lugarde un traductor humano. Microsoft Ie ofrece articulos traducidos por untraductor humane y ar ticu los traducidos automat icamente para que tengaacceso en su propio idioma a todos los articulos de nuestra base deconocimientos (Knowledge Base). Sin embargo, los articulos traducidosautornaticarnente pueden contener errores en el vocabulario, la sintaxis 0 la


5/5

gramatica, como los que un extranjero pod ria cometer al hablar el idioma.Microsof t no se hace responsable de cualqu ier imprecis ion, error 0 danoocasionado por una mala traduccion de l contenido 0 como consecuencia desu ut lli zacion por nuestros e lientes. Microsof t sue le actua lizar el sof tware detraduccion frecuentemente.Haga el ic aqui para ver e l art iculo or iginal (en ing les): 935834(http://,upport.micro,oft.com/kb/935834/en -u'I)

Documents

Cómo habilitar LDAP iniciar sesión en Windows Server 2008