active-directory – 保护OpenLDAP和AD
我们使用OpenLDAP服务器作为AD的代理,方法是将AD添加为OpenLDAP的下属.
我通过使用StartTLS连接获得了OpenLDAP流量,现在我被告知使用LDAPS协议进行绑定,我们这样做是为了连接到AD服务器(我们使用的是简单绑定). 所以我的问题是,是否有必要使用LDAPS与AD进行通信,因为OpenLDAP已经在使用StartTLS? 我对OpenLDAP和AD知之甚少,所以只想要这些建议. 我使用以下配置添加后端ldap [轻量级目录访问协议(代理)后端]数据库. dn: olcDatabase=ldap,cn=config objectClass: olcDatabaseConfig objectClass: olcLDAPConfig olcDatabase: ldap olcSuffix: ou=xyz,dc=xyz,dc=xyz olcSubordinate: TRUE olcAccess: to dn.subtree="ou=xyz,dc=xyz" by * read olcAddContentAcl: FALSE olcLastMod: FALSE olcMaxDerefDepth: 15 olcReadOnly: FALSE olcSyncUseSubentry: FALSE olcMonitoring: FALSE olcDbURI: "ldap://xx.xx.xx.xx" olcDbStartTLS: none starttls=no olcDbACLBind: bindmethod=simple timeout=0 network-timeout=0 binddn="cn=xyz,ou=xyz,dc=xyz" credentials="xxxxxxxxxxxxxxxxxxxxxx" olcDbIDAssertBind: mode=legacy flags=prescriptive,proxy-authz-non-critical bindmethod=simple timeout=0 network-timeout=0 binddn="cn=xyz,dc=xyz" credentials="xxxxxxxxxxxxxxxxxxxxxx" olcDbRebindAsUser: TRUE olcDbChaseReferrals: TRUE olcDbNoRefs: FALSE olcDbNoUndefFilter: FALSE
不受SSL / TLS保护的LDAP简单绑定非常不安全,因为它涉及通过网络以明文形式发送用户名和密码凭据.
LDAP简单绑定仅可通过SSL / TLS / LDAPS接受. 要在Active Directory域控制器上启用LDAPS,您只需在AD域控制器上安装带有私钥的合适证书: https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-third-party-certification-authority 请务必阅读上述文章的要求部分,了解可接受的证书的构成. 在域控制器上安装可接受的证书后,Active Directory将自动检测其存在并通过端口636启用LDAPS. 您可以从您希望的任何证书颁发机构获取证书,只要该参与通信的所有各方都信任该证书.它可以是现有的AD集成PKI,也可以是公司网络上的非Microsoft CA,或者甚至可以是Godaddy,Symantec等公共的,全球可信的CA,只要它能够生产符合要求的证书: > LDAPS证书位于本地计算机的个人证书存储区(以编程方式称为计算机的MY证书存储区). >“主题”字段中的“公用名”(CN). >证书由域控制器和LDAPS客户端信任的CA颁发.通过将客户端和服务器配置为信任发布CA链的根CA来建立信任. (从技术上讲,它甚至可能是一个自签名证书,但这不是一个安全的解决方案.) 安装此证书后,域控制器将在端口636上自动启用LDAPS服务.(以及3269上的全局编录服务.) 到目前为止,我只描述了LDAPS,但没有具体描述StartTLS. 如果您愿意,可以对Microsoft LDAP服务器使用startTLS: https://msdn.microsoft.com/en-us/library/aa366997(v=vs.85).aspx 它不需要在服务器上进行任何其他配置.它只涉及客户端向服务器发送正确的LDAP控件(命令). (startTLS的控件OID为“1.3.6.1.4.1.1466.20037”.) (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |