Skip to main content

Implantando Azure AD Domain Services e configuração comunicação com o QM

Ao criar uma conta no Portal Azure, automaticamente será criado um Locatário no Azure Active Directory utilizando a licença Gratuita e o domínio padrão da Microsoft, "onmicrosoft.com", este domínio não pode ser editado.

image.png

Através deste Locatário pode-se criar novos usuários, criar grupos e atribuir permissões. Sendo assim, deve-se criar um usuário com permissões administrativas antes de seguir com a configuração do AADDS:

image.png

Para seguir com a criação de um AADDS, deve-se criar um novo "Grupo de Recurso":

  • Na barra de pesquisa do Portal Azure, pesquise por "Grupos de Recursos"

image.png

  • Após seguir o passo acima, clique em "Criar" e crie um novo grupo com o nome que desejar:

image.png

Com o Grupo de Recursos criado, deve-se criar uma nova "Virtual Network" que será inserida nas configurações do AADDS.

  • Para criar uma nova Virtual Network", deve-se estar dentro do Grupo de Recurso recém criado e clicar em "Criar". Pesquise por "Virtual Network":

image.png

  • Selecione o Grupo de Recursos recém criado e escolha um nome para sua VNET:

image.png

  • Avance até a aba de "marcas", insira um Nome/Valor para identificar o projeto e clique em "Revisar + criar":

image.png

Com o Grupo de Recursos e Virtual Network criados, seguiremos para a configuração do Azure AD Domain Services:

  • Na aba de pesquisa do Portal Azure, pesquise por "Azure AD Domain Services" e clique em "Criar":

image.png

  • Na primeira tela de configuração, selecione o Grupo de Recursos criado para este projeto, escolha um nome para o seu domínio e selecione o tipo de SKU:

image.png

  • Na aba de "Redes", selecione a Virtual Network que foi criada:

image.png

  • Na aba "Administração", clique na opção de "Gerenciar associação a um grupo" e selecione o usuário "Administrador" criado no inicio desta documentação.

image.png

  • Avance até a aba de "marcas", insira um Nome/Valor para identificar o projeto e clique em "Revisar + criar".

O processo de criação dura em torno de 30 a 60 minutos

Após a criação do AADDS, um certificado digital deve ser criado para que o LDAPS seja devidamente configurado e assim ser liberado um IP público.

Será criado um certificado autoassinado para LDAP seguro usando o cmdlet New-SelfSignedCertificate.

  • Abra uma janela do PowerShell como Administrador e execute os comandos a seguir. Substitua a variável $dnsName pelo nome DNS usado pelo próprio domínio gerenciado, como qmad.com:
# Define your own DNS name used by your managed domain
$dnsName="qmad.com"

# Get the current date to set a one-year expiration
$lifetime=Get-Date

# Create a self-signed certificate for use with Azure AD DS
New-SelfSignedCertificate -Subject *.$dnsName `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName
  • A seguinte saída de exemplo mostra que o certificado foi gerado com êxito e armazenado no repositório de certificados local (LocalMachine\MY):

image.png

Para usar o certificado digital recém criado com o domínio gerenciado, será necessário exportar o certificado para um arquivo de certificado .PFX que inclua a chave privada. Para fazer esta configuração, siga os passos abaixo:

  • Abra o MMC (Console de Gerenciamento Microsoft) como Administrador.
  • No menu Arquivo, selecione Adicionar/Remover Snap-in.
  • No assistente Snap-in de certificados, escolha Conta de computador e, em seguida, selecione Avançar.

  • Na página Selecionar Computador, escolha Computador local: (o computador no qual este console está sendo executado) e, em seguida, selecione Concluir.

  • Na caixa de diálogo Adicionar ou Remover Snap-ins, escolha OK para adicionar o snap-in de certificados ao MMC.

  • Na janela do MMC, expanda Raiz do Console. Selecione certificados (Computador Local) e, em seguida, expanda o nó Pessoal, seguido pelo nó Certificados.

image.png

  • O certificado autoassinado criado na etapa anterior é mostrado como qmad.com. Selecione o certificado com o botão direito do mouse e, em seguida, escolha Todas as Tarefas - Exportar.

image.png

  • No Assistente para Exportação de Certificados, selecione Avançar.

  • Na página Exportar Chave Privada, escolha Sim, exportar a chave privada e, em seguida, selecione Avançar.

    A chave privada do certificado precisa ser exportada. Se a chave privada não estiver incluída no certificado exportado, a ação para habilitar o LDAP Seguro do domínio gerenciado falhará. 

  • Na página Exportar Formato de Arquivo, escolha Troca de Informações Pessoais – PKCS nº12 (.PFX) como o formato de arquivo para o certificado exportado. Marque a caixa "Incluir todos os certificados no caminho de certificação, se possível":

image.png

  • Na página Segurança, escolha a opção de Senha para proteger o arquivo de certificado .PFX. O algoritmo de criptografia precisa ser TripleDES-SHA1. Insira e confirme uma senha e, em seguida, selecione Avançar. Essa senha será usada na próxima seção para habilitar o LDAP Seguro para o domínio gerenciado.

    Como esse certificado é usado para descriptografar dados, você deve controlar cuidadosamente o acesso. Uma senha pode ser usada para proteger o uso do certificado. Sem a senha correta, o certificado não pode ser aplicado a um serviço.

image.png

  • Na página Arquivo a ser Exportado, especifique o nome do arquivo e a localização em que deseja exportar o certificado, como C:\Users\accountname\azure-ad-ds.pfx. Anote a senha e o local do arquivo .PFX, pois essas informações serão necessárias nas próximas etapas.

Os computadores cliente precisam confiar no emissor do certificado LDAP Seguro para poderem se conectar com êxito ao domínio gerenciado usando o LDAPS. Os computadores cliente precisam ter um certificado para criptografar com êxito os dados descriptografados pelo Azure AD DS. 

Neste documento, foi gerado um certificado autoassinado que inclui a chave privada na etapa anterior. Agora, será necessário exportar e, em seguida, instalar o certificado autoassinado no repositório de certificados confiáveis no computador cliente:

  • Volte ao MMC para o repositório Certificados (Computador Local) Pessoal > Certificados. O certificado autoassinado criado em uma etapa anterior é mostrado, como qmad.com. Selecione o certificado com o botão direito do mouse e, em seguida, escolha Todas as Tarefas - Exportar.

  • No Assistente para Exportação de Certificados, selecione Avançar.

  • Como você não precisa da chave privada para clientes, na página Exportar Chave Privada, escolha Não, não exportar a chave privada e, em seguida, selecione Avançar.

  • Na página Formato do Arquivo de Exportação, selecione X.509 codificado em Base64 (.CER) como o formato de arquivo para o certificado exportado:

image.png

  • Na página Arquivo a ser Exportado, especifique o nome do arquivo e a localização em que deseja exportar o certificado, como C:\Users\accountname\azure-ad-ds-client.cer.

O arquivo de certificado .CER agora pode ser distribuído para os computadores cliente que precisam confiar na conexão do LDAP Seguro com o domínio gerenciado.

Com o certificado digital criado e exportado incluindo a a chave privada, agora é possível habilitar o LDAP Seguro no domínio gerenciado da Azure. Para habilitar o LDAP Seguro em um domínio gerenciado, execute as seguintes etapas de configuração:

  • No Portal Azure, abra o dominio gerenciado que foi criado nos passos anteriores.

image.png

  • No lado esquerdo da janela do Azure AD DS, deve-se abrir a opção LDAP Seguro.

image.png

  • Por padrão, o acesso LDAP seguro ao seu domínio gerenciado fica desabilitado. Posicione a tecla de alternância LDAP Seguro em Habilitar.

  • Alterne Permitir acesso LDAP Seguro na Internet como Habilitar.
Back to top