Active-Directory

在 Active Directory 中啟用 LDAPS 有多常見?

  • July 13, 2020

我們有一個應用程序使用未加密的 LDAP 從 Active Directory 讀取使用者和組資訊。由於 Microsoft 將需要 LDAP 通道綁定和 LDAP 簽名(根據ADV190023 安全公告),我們打算調整應用程序以支持 LDAPS。

為了我們的客戶可以繼續使用該應用程序,他們顯然必須在其 Active Directory 中啟動 LDAPS。我擔心這可能會成為一個障礙,因為客戶可能不希望 AD 認證服務和 SSL 證書處理的額外成本。

在 Active Directory 中啟用 LDAPS 有多常見?

對於 Windows 客戶端,您不需要 LDAPS 來解決通道綁定問題,但對於任何其他非 Windows LDAP 客戶端(包括嵌入在 Windows 應用程序中且不使用作業系統堆棧的 LDAP 客戶端),您將需要 LDAPS繞過它。

此外,任何對安全性有絲毫顧慮的環境都一直試圖強制執行或實際上已強制執行多年。

所以,它並不像它應該的那樣普遍,但它很普遍,而且我在過去十年或更長時間裡一直在實施它。在現代 AD 中,證書服務只是不可或缺的一部分。

順便說一句,您實際上並不需要 AD 證書服務,它只是讓生活更輕鬆。您可以使用任何頒發具有適當功能的證書的證書提供者進行 LDAPS。事實上,您可以在沒有任何 CA 的情況下執行 LDAPS - 您只需要信任呼叫 LDAP 客戶端上的每個 DC(您將連接到的)自簽名證書(而不僅僅是頒發 CA 的根證書)。

對於供應商而言,我實際上認為 Microsoft 明確他們的方向以使 LDAPS 成為其產品支持的先決條件是足夠公平的。儘管我個人認為如今與 AD 集成的供應商也應該掌握 Kerberos 和 SSO 身份驗證提供程序,例如 SAML/OAuth。

引用自:https://serverfault.com/questions/1020744