विंडोज सर्वर और क्लाइंट मशीनों में एलडीएपी साइनिंग को कैसे सक्षम करें

एलडीएपी हस्ताक्षर (LDAP signing)विंडोज सर्वर(Windows Server) में एक प्रमाणीकरण विधि है जो निर्देशिका सर्वर की सुरक्षा में सुधार कर सकती है। एक बार सक्षम होने पर, यह किसी भी अनुरोध को अस्वीकार कर देगा जो हस्ताक्षर करने के लिए नहीं कहता है या यदि अनुरोध गैर-एसएसएल/टीएलएस-एन्क्रिप्टेड का उपयोग कर रहा है। इस पोस्ट में, हम साझा करेंगे कि आप विंडोज सर्वर(Windows Server) और क्लाइंट मशीनों में एलडीएपी(LDAP) साइनिंग को कैसे सक्षम कर सकते हैं। LDAP का मतलब   लाइटवेट डायरेक्ट्री एक्सेस प्रोटोकॉल(Lightweight Directory Access Protocol) (LDAP) है।

विंडोज(Windows) कंप्यूटर में एलडीएपी(LDAP) साइनिंग कैसे इनेबल करें

यह सुनिश्चित करने के लिए कि हमलावर सर्वर कॉन्फ़िगरेशन और डेटा को बदलने के लिए जाली LDAP क्लाइंट का उपयोग नहीं करता है, (LDAP)LDAP हस्ताक्षर को सक्षम करने के लिए यह आवश्यक है। क्लाइंट मशीनों पर इसे सक्षम करना भी उतना ही महत्वपूर्ण है।

  1. (Set)सर्वर LDAP हस्ताक्षर आवश्यकता सेट करें
  2. (Set)स्थानीय(Local) कंप्यूटर नीति का उपयोग करके क्लाइंट LDAP हस्ताक्षर आवश्यकता सेट करें
  3. (Set)डोमेन समूह नीति ऑब्जेक्ट(Domain Group Policy Object) का उपयोग करके क्लाइंट LDAP हस्ताक्षर आवश्यकता (LDAP)सेट करें
  4. (Set)रजिस्ट्री(Registry) कुंजियों का उपयोग करके क्लाइंट LDAP हस्ताक्षर आवश्यकता सेट करें
  5. कॉन्फ़िगरेशन परिवर्तनों को कैसे सत्यापित करें
  6. उन ग्राहकों को कैसे खोजें जो “ हस्ताक्षर करने की आवश्यकता ” विकल्प का उपयोग नहीं करते हैं(Require)

अंतिम खंड आपको उन ग्राहकों का पता लगाने में मदद करता है जिनके पास कंप्यूटर पर साइन इन करने की आवश्यकता नहीं है । (do not have Require signing enabled)यह उन कंप्यूटरों को अलग करने और कंप्यूटर पर सुरक्षा सेटिंग्स को सक्षम करने के लिए आईटी व्यवस्थापकों के लिए एक उपयोगी उपकरण है।

1] सर्वर एलडीएपी(LDAP) हस्ताक्षर आवश्यकता सेट करें(Set)

विंडोज सर्वर और क्लाइंट मशीनों में एलडीएपी साइनिंग को कैसे सक्षम करें

  1. Microsoft प्रबंधन कंसोल(Microsoft Management Console) खोलें (mmc.exe)
  2. फ़ाइल चुनें >  स्नैप-इन  जोड़ें /निकालें > (Add)समूह नीति ऑब्जेक्ट संपादक(Group Policy Object Editor) चुनें और फिर  जोड़ें(Add) चुनें ।
  3. यह समूह नीति विज़ार्ड(Group Policy Wizard) खोलेगा । ब्राउज़(Browse) बटन  पर क्लिक(Click) करें, और स्थानीय कंप्यूटर के बजाय डिफ़ॉल्ट डोमेन नीति चुनें(Default Domain Policy)
  4. (Click)ओके बटन पर क्लिक करें, और फिर फिनिश(Finish) बटन पर, और इसे बंद करें।
  5. Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies चुनें  और फिर सुरक्षा विकल्प चुनें।
  6. डोमेन नियंत्रक पर राइट-क्लिक करें  : LDAP सर्वर हस्ताक्षर आवश्यकताएँ(Domain controller: LDAP server signing requirements) , और फिर गुण चुनें।
  7. डोमेन(Domain) नियंत्रक में  : LDAP सर्वर हस्ताक्षर आवश्यकताएँ गुण(Properties)  संवाद बॉक्स,  इस नीति सेटिंग को  परिभाषित करें सक्षम करें, इस नीति (Define)को परिभाषित करें सूची में साइन इन करने की आवश्यकता का चयन करें,(Require signing in the Define this policy setting list,) और फिर ठीक चुनें।
  8. सेटिंग्स को दोबारा जांचें और उन्हें लागू करें।

2] स्थानीय कंप्यूटर नीति का उपयोग करके क्लाइंट एलडीएपी(LDAP) हस्ताक्षर आवश्यकता सेट करें(Set)

विंडोज सर्वर और क्लाइंट मशीनों में एलडीएपी साइनिंग को कैसे सक्षम करें

  1. रन(Run) प्रॉम्प्ट खोलें , और gpedit.msc टाइप करें, और एंटर(Enter) कुंजी दबाएं।
  2. समूह नीति संपादक में, Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies पर नेविगेट करें और फिर  सुरक्षा विकल्प चुनें।(Security Options.)
  3. नेटवर्क सुरक्षा(Network security: LDAP client signing requirements) पर राइट-क्लिक करें : एलडीएपी क्लाइंट साइनिंग आवश्यकताएं , और फिर गुण चुनें।
  4. नेटवर्क(Network) सुरक्षा में  : LDAP क्लाइंट साइनिंग आवश्यकताएं गुण(Properties)  संवाद बॉक्स  में, सूची में साइन(Require signing) इन करने की आवश्यकता का चयन करें और फिर ठीक चुनें।
  5. परिवर्तनों की पुष्टि करें और उन्हें लागू करें।

3] डोमेन समूह नीति ऑब्जेक्ट(Group Policy Object) का उपयोग करके क्लाइंट एलडीएपी हस्ताक्षर आवश्यकता (LDAP)सेट करें(Set)

  1. Microsoft प्रबंधन कंसोल खोलें (mmc.exe)(Open Microsoft Management Console (mmc.exe))
  2. फ़ाइल(File)  >  Add/Remove Snap-in >समूह नीति ऑब्जेक्ट संपादक(Group Policy Object Editor) चुनें  और फिर  जोड़ें(Add)  चुनें  ।
  3. यह समूह नीति विज़ार्ड(Group Policy Wizard) खोलेगा । ब्राउज़(Browse) बटन  पर क्लिक(Click) करें, और स्थानीय कंप्यूटर के बजाय डिफ़ॉल्ट डोमेन नीति चुनें(Default Domain Policy)
  4. (Click)ओके बटन पर क्लिक करें, और फिर फिनिश(Finish) बटन पर, और इसे बंद करें।
  5. डिफ़ॉल्ट डोमेन नीति(Default Domain Policy)  >  कंप्यूटर कॉन्फ़िगरेशन(Computer Configuration)  >  विंडोज सेटिंग्स(Windows Settings)  >  सुरक्षा सेटिंग्स(Security Settings)  >  स्थानीय नीतियां(Local Policies) चुनें  और फिर  सुरक्षा विकल्प(Security Options) चुनें ।
  6. नेटवर्क सुरक्षा में  : LDAP क्लाइंट साइनिंग आवश्यकताएं गुण (Network security: LDAP client signing requirements Properties ) संवाद बॉक्स  में, सूची में साइन (Require signing ) इन करने की आवश्यकता का चयन करें और फिर  ठीक(OK) चुनें ।
  7. परिवर्तनों की पुष्टि करें(Confirm) और सेटिंग्स लागू करें।

4] रजिस्ट्री कुंजियों का उपयोग करके क्लाइंट LDAP हस्ताक्षर आवश्यकता सेट करें(Set)

सबसे पहली और महत्वपूर्ण बात यह है कि आप अपनी रजिस्ट्री का बैकअप लें

  • रजिस्ट्री संपादक खोलें
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters पर नेविगेट करें CurrentControlSet सेवाएँ <InstanceName> पैरामीटर्स
  • दाएँ फलक पर राइट-क्लिक करें , और (Right-click)LDAPServerIntegrity नाम से एक नया DWORD बनाएँ(DWORD)
  • इसे इसके डिफ़ॉल्ट मान पर छोड़ दें।

<InstanceName >: AD LDS इंस्टेंस का नाम जिसे आप बदलना चाहते हैं।

5] कैसे(How) सत्यापित करें कि कॉन्फ़िगरेशन परिवर्तन के लिए अब साइन-इन की आवश्यकता है ?

यह सुनिश्चित करने के लिए कि सुरक्षा नीति यहां काम कर रही है, इसकी अखंडता की जांच कैसे करें।

  1. उस कंप्यूटर में साइन इन करें जिसमें AD DS Admin Tools स्थापित हैं।
  2. रन(Run) प्रॉम्प्ट खोलें , और ldp.exe टाइप करें, और एंटर(Enter) कुंजी दबाएं। यह एक UI है जिसका उपयोग सक्रिय निर्देशिका(Active Directory) नाम स्थान के माध्यम से नेविगेट करने के लिए किया जाता है
  3. कनेक्शन > कनेक्ट चुनें.
  4. सर्वर(Server)  और  पोर्ट(Port) में  , सर्वर का नाम और अपने निर्देशिका सर्वर का गैर-एसएसएल/टीएलएस पोर्ट टाइप करें और फिर ठीक चुनें।
  5. कनेक्शन स्थापित होने के बाद, कनेक्शन > बाइंड चुनें।
  6. बाइंड(Bind) टाइप के  तहत  , सिंपल(Simple) बाइंड चुनें।
  7. उपयोगकर्ता नाम और पासवर्ड टाइप करें, और उसके बाद ठीक चुनें।

यदि आपको यह कहते हुए एक त्रुटि संदेश प्राप्त होता है कि  Ldap_simple_bind_s() विफल: मजबूत प्रमाणीकरण आवश्यक(Ldap_simple_bind_s() failed: Strong Authentication Required) है, तो आपने अपने निर्देशिका सर्वर को सफलतापूर्वक कॉन्फ़िगर कर लिया है।

6] ऐसे ग्राहकों को कैसे(How) खोजें जो " हस्ताक्षर करने की आवश्यकता " विकल्प का उपयोग नहीं करते हैं(Require)

हर बार जब कोई क्लाइंट मशीन असुरक्षित कनेक्शन प्रोटोकॉल का उपयोग करके सर्वर से जुड़ती है, तो यह इवेंट आईडी 2889(Event ID 2889) उत्पन्न करती है । लॉग प्रविष्टि में ग्राहकों के आईपी पते भी होंगे। आपको 16  (16 )LDAP इंटरफ़ेस इवेंट(LDAP Interface Events)  डायग्नोस्टिक सेटिंग को  2 (बेसिक)(2 (Basic). ) पर सेट करके इसे सक्षम करना होगा । यहां Microsoft पर AD और (here at Microsoft)LDS डायग्नोस्टिक इवेंट लॉगिंग को कॉन्फ़िगर करने का तरीका जानें ।

एलडीएपी साइनिंग(LDAP Signing) महत्वपूर्ण है, और मुझे आशा है कि यह आपको स्पष्ट रूप से समझने में मदद करने में सक्षम था कि आप विंडोज सर्वर(Windows Server) में और क्लाइंट मशीनों पर एलडीएपी(LDAP) साइनिंग को कैसे सक्षम कर सकते हैं।



Fatima Khare

About the author

मेरे पास कंप्यूटर इंजीनियरिंग और सूचना प्रौद्योगिकी की पृष्ठभूमि है, जिसने मुझे विंडोज 10 और 11 प्लेटफॉर्म पर एक अनूठा दृष्टिकोण दिया है। विशेष रूप से, मुझे विंडोज 10 "डेस्कटॉप एक्सपीरियंस" और माइक्रोसॉफ्ट एज ब्राउज़र दोनों का अनुभव है। इन दो प्लेटफार्मों के साथ मेरा अनुभव मुझे इस बात की गहरी समझ देता है कि वे कैसे काम करते हैं, और इन क्षेत्रों में मेरी विशेषज्ञता मुझे उन्हें बेहतर बनाने के बारे में विश्वसनीय सलाह प्रदान करने की अनुमति देती है।


Related posts