Skip to main content

Implantando Azure AD Domain Services e configurando a comunicação com o QM

Introdução

Neste documento estão detalhados os passos para a criação do Active Directory em Cloud (Azure) e os passos da configuração para que o MD2 Quality Manager consiga fazer a autenticação utilizando LDAPS.

A configuração apresentada neste documento é apenas uma sugestão que pode ser seguido. A orientação é que siga os passos apresentados nas documentações da Azure.

Criando Azure Active Directory

Ao criar uma conta no Portal Azure, automaticamente será criado um Locatário no Azure Active Directory utilizando a licença Gratuita e o domínio padrão da Microsoft, "onmicrosoft.com", este domínio não pode ser editado.

image.png

Através deste Locatário pode-se criar novos usuários, grupos e atribuir permissões. Sendo assim, deve-se criar um usuário com permissões administrativas antes de seguir com a configuração do Azure AD Domain Services (AADDS):

image.png

Criando Azure AD Domain Services

Para seguir com a criação de um AADDS, deve-se criar um novo "Grupo de Recurso":

  • Na barra de pesquisa do Portal Azure, pesquise por "Grupos de Recursos"

image.png

  • Após seguir o passo acima, clique em "Criar" e crie um novo grupo com o nome que desejar:

image.png

Com o Grupo de Recursos criado, deve-se criar uma nova "Virtual Network" que será inserida nas configurações do AADDS.

  • Para criar uma nova Virtual Network", deve-se estar dentro do Grupo de Recurso recém criado e clicar em "Criar". Pesquise por "Virtual Network":

image.png

  • Selecione o Grupo de Recursos recém criado e escolha um nome para sua VNET:

image.png

  • Avance até a aba de "marcas", insira um Nome/Valor para identificar o projeto e clique em "Revisar + criar":

image.png

Com o Grupo de Recursos e Virtual Network criados, seguiremos para a configuração do Azure AD Domain Services:

  • Na aba de pesquisa do Portal Azure, pesquise por "Azure AD Domain Services" e clique em "Criar":

image.png

  • Na primeira tela de configuração, selecione o Grupo de Recursos criado para este projeto, escolha um nome para o seu domínio e selecione o tipo de SKU:

image.png

  • Na aba de "Redes", selecione a Virtual Network que foi criada:

image.png

  • Na aba "Administração", clique na opção de "Gerenciar associação a um grupo" e selecione o usuário "Administrador" criado no inicio desta documentação.

image.png

  • Avance até a aba de "marcas", insira um Nome/Valor para identificar o projeto e clique em "Revisar + criar".

O processo de criação dura em torno de 30 a 60 minutos

Criando um certificado para o LDAP Seguro

Após a criação do AADDS, um certificado digital deve ser criado para que o LDAPS seja devidamente configurado e assim ser liberado um IP público.

Será criado um certificado autoassinado para LDAP Seguro usando o cmdlet New-SelfSignedCertificate.

  • Abra uma janela do PowerShell como Administrador e execute os comandos a seguir. Substitua a variável $dnsName pelo nome DNS usado pelo próprio domínio gerenciado, como qmad.com:
# Define your own DNS name used by your managed domain
$dnsName="qmad.com"

# Get the current date to set a one-year expiration
$lifetime=Get-Date

# Create a self-signed certificate for use with Azure AD DS
New-SelfSignedCertificate -Subject *.$dnsName `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName
  • A seguinte saída de exemplo mostra que o certificado foi gerado com êxito e armazenado no repositório de certificados local (LocalMachine\MY):

image.png

Exportando o certificado para o Azure AD DS

Para usar o certificado digital recém criado com o domínio gerenciado, será necessário exportar o certificado para um arquivo de certificado .PFX que inclua a chave privada. Para fazer esta configuração, siga os passos abaixo:

  • Abra o MMC (Console de Gerenciamento Microsoft) como Administrador.
  • No menu Arquivo, selecione Adicionar/Remover Snap-in.
  • No assistente Snap-in de certificados, escolha Conta de computador e, em seguida, selecione Avançar.

  • Na página "Selecionar Computador", escolha "Computador local:" (o computador no qual este console está sendo executado) e, em seguida, selecione Concluir.

  • Na caixa de diálogo "Adicionar ou Remover Snap-ins", escolha "OK" para adicionar o snap-in de certificados ao MMC.

  • Na janela do MMC, expanda "Raiz do Console". Selecione "certificados (Computador Local)" e, em seguida, expanda o nó "Pessoal", seguido pelo nó "Certificados".

image.png

  • O certificado autoassinado criado na etapa anterior é mostrado como qmad.com. Selecione o certificado com o botão direito do mouse e, em seguida, escolha Todas as Tarefas - Exportar.

image.png

  • No Assistente para Exportação de Certificados, selecione Avançar.

  • Na página "Exportar Chave Privada", escolha "Sim, exportar a chave privada" e, em seguida, selecione Avançar.

    A chave privada do certificado precisa ser exportada. Se a chave privada não estiver incluída no certificado exportado, a ação para habilitar o LDAP Seguro do domínio gerenciado falhará. 

  • Na página "Exportar Formato de Arquivo", escolha "Troca de Informações Pessoais – PKCS nº12 (.PFX)" como o formato de arquivo para o certificado exportado. Marque a caixa "Incluir todos os certificados no caminho de certificação, se possível":

image.png

  • Na página Segurança, escolha a opção de Senha para proteger o arquivo de certificado .PFX. O algoritmo de criptografia precisa ser TripleDES-SHA1. Insira e confirme uma senha e, em seguida, selecione Avançar. Essa senha será usada na próxima seção para habilitar o LDAP Seguro para o domínio gerenciado.

    Como esse certificado é usado para descriptografar dados, você deve controlar cuidadosamente o acesso. Uma senha pode ser usada para proteger o uso do certificado. Sem a senha correta, o certificado não pode ser aplicado a um serviço.

image.png

  • Na página Arquivo a ser Exportado, especifique o nome do arquivo e a localização em que deseja exportar o certificado, como C:\Users\accountname\azure-ad-ds.pfx. Anote a senha e o local do arquivo .PFX, pois essas informações serão necessárias nas próximas etapas.

Exportando certificado para computadores cliente

Os computadores cliente precisam confiar no emissor do certificado LDAP Seguro para poderem se conectar com êxito ao domínio gerenciado usando o LDAPS. Os computadores cliente precisam ter um certificado para criptografar com êxito os dados descriptografados pelo Azure AD DS. 

Neste documento, foi gerado um certificado autoassinado que inclui a chave privada na etapa anterior. Agora, será necessário exportar e, em seguida, instalar o certificado autoassinado no repositório de certificados confiáveis no computador cliente:

  • Volte ao MMC para o repositório Certificados (Computador Local) Pessoal > Certificados. O certificado autoassinado criado em uma etapa anterior é mostrado, como qmad.com. Selecione o certificado com o botão direito do mouse e, em seguida, escolha Todas as Tarefas - Exportar.

  • No Assistente para Exportação de Certificados, selecione Avançar.

  • Como você não precisa da chave privada para clientes, na página Exportar Chave Privada, escolha Não, não exportar a chave privada e, em seguida, selecione Avançar.

  • Na página Formato do Arquivo de Exportação, selecione X.509 codificado em Base64 (.CER) como o formato de arquivo para o certificado exportado:

image.png

  • Na página Arquivo a ser Exportado, especifique o nome do arquivo e a localização em que deseja exportar o certificado, como C:\Users\accountname\azure-ad-ds-client.cer.

O arquivo de certificado .CER agora pode ser distribuído para os computadores cliente (servidores que hospedam o MD2 Quality Manager) que precisam confiar na conexão do LDAP Seguro com o domínio gerenciado.

Habilitando LDAPS para o Azure AD Domain Services

Com o certificado digital criado e exportado incluindo a a chave privada, agora é possível habilitar o LDAP Seguro no domínio gerenciado da Azure. Para habilitar o LDAP Seguro em um domínio gerenciado, execute as seguintes etapas de configuração:

  • No Portal Azure, abra o dominio gerenciado que foi criado nos passos anteriores.

image.png

  • No lado esquerdo da janela do Azure AD DS, deve-se abrir a opção LDAP Seguro.

image.png

  • Por padrão, o acesso LDAP seguro ao seu domínio gerenciado fica desabilitado. Posicione a tecla de alternância LDAP Seguro em Habilitar.

  • Alterne Permitir acesso LDAP Seguro na Internet como Habilitar.
  • Selecione o ícone de pasta ao lado do arquivo .PFX com certificado LDAP seguro. Procure o caminho do arquivo .PFX e, em seguida, selecione o certificado criado em uma etapa anterior que inclua a chave privada.

  • Insira a Senha para descriptografar o arquivo .PFX definida em uma etapa anterior quando o certificado foi exportado para um arquivo .PFX.

  • Selecione Salvar para habilitar o LDAP Seguro.

image.png

Bloquear o acesso LDAP Seguro na Internet

Quando o acesso LDAP Seguro na Internet para o domínio gerenciado está habilitado, cria-se uma ameaça de segurança. O domínio gerenciado pode ser acessado pela Internet na porta TCP 636. É recomendável restringir o acesso ao domínio gerenciado aos endereços IP conhecidos específicos para o ambiente. Uma regra de grupo de segurança de rede do Azure pode ser usada para limitar o acesso ao LDAP Seguro.

  • No portal do Azure, pesquise por Grupos de recursos na barra de pesquisa.

  • Escolha o grupo de recursos criados nos passos anteriores e em seguida selecione o grupo de segurança de rede, como aaad-nsg.

image.png

  • A lista de regras de segurança de entrada e saída existentes é exibida. No lado esquerdo das janelas do grupo de segurança de rede, escolha Configurações Regras de segurança de entrada.

  • Selecione Adicionar e, em seguida, crie uma regra para permitir a porta TCP 636. Para maior segurança, escolha a origem como Endereços IP e, em seguida, especifique seu endereço IP Público.

image.png

Com o acesso LDAP Seguro habilitado na Internet, o Endereço IP externo do LDAP Seguro ficará listado na guia Propriedades do domínio gerenciado:

image.png

Importando o certificado no servidor Quality Manager

Após os passos anteriores terem sido executados com êxito, o certificado ".cer" deve ser transferido para o servidor que hospeda o MD2 Quality Manager e o mesmo deve ser importado para a Keystore "cacerts" utilizando o comando abaixo:

keytool -import -noprompt -trustcacerts -alias myFancyAlias -file /path/to/my/cert/myCert.cer -keystore /path/to/my/jdk/jre/lib/security/cacerts -storepass changeit

Deve-se adicionar o nome do domínio criado e o IP Público no arquivo hosts:

vim /etc/hosts

image.png

Configurando LDAPS na aplicação Quality Manager

Após executar estes passos, deve-se preencher as informações na tela de "Configuração LDAP" no Quality Manager:

image.png

Ao clicar no botão "Teste", a seguinte mensagem deve ser exibida:

image.png

Observações:

Para que a autenticação funcione sem erros, será necessário atentar-se em três pontos:

  • Criar grupos no AD e nas configurações do Quality Manager. Os grupos precisam estar com o mesmo nome.
    Exemplo:
    • Grupo criado no Azure AD:

image.png

    • Grupo criado no Quality Manager:

image.png

  • Os usuários devem estar com a informação "e-mail" preenchida nas "Informações de Contato", nas propriedades do usuário. Se esta informação não estiver preenchida, o Quality Manager apresentará erro ao tentar fazer login.

image.png

  • Alterar o valor do parâmetro "qm.app.ldap.rootLdapGroup" para a OU padrão do Azure AD, "AADDC Users":

image.png

Logando no Quality Manager

Após fazer todas as configurações listadas, o MD2 Quality Manager estará apto para se autenticar vida LDAPS ao Azure AD Domain Services criado. Para fazer o login, não precisa especificar o dominio:

image.png



No Comments
Back to top