在我们的活动目录服务器上,我希望按照以下步骤启用 LDAP over SSL:http://support.microsoft.com/kb/321051。我想知道,一旦设置完成,LDAP 是否还会在标准端口 389 上侦听,以及在安全端口上侦听?或者安全端口是否会完全取代标准端口作为连接选项?
此外,除了本文中的步骤之外,是否还需要其他配置?换句话说,域用户是否仍能像平常一样进行身份验证,还是需要进行其他设置?
答案1
Active Directory 将继续监听端口 389。当在启动期间找到适当的证书时,它将开始监听 LDAPS,但非安全的 LDAP 行为保持不变。
我在查找文档时遇到了问题,这些文档说明了 Windows 客户端内置的 Active Directory 客户端是什么。我不清楚客户端是否会自动尝试执行 LDAPS 操作来代替 LDAP 操作。我很想知道是否有人可以找到解释客户端行为的文档链接。
鉴于 Microsoft 提供的确认客户端行为的文档,我建议使用 Wireshark 之类的工具来监控“前后”网络流量。
答案2
域用户将像正常一样登录。
您可能会发现以下链接有帮助:
登录和身份验证技术
http://technet.microsoft.com/en-us/library/cc780455%28WS.10%29.aspx
如何使用第三方证书颁发机构启用 LDAP over SSL
http://support.microsoft.com/kb/321051
我试图找到一个清晰的身份验证图。在 Active Directory 中添加 LDAP 通常是为了对第三方服务或产品(例如其他目录服务器、php web 应用程序、双因素身份验证系统或 unix/linux 计算机)进行身份验证。
我过去曾使用过 ldaps,因此密码不会在 SAP Enterprise Portal Web 环境和 Active Directory 之间的网络上以明文形式传递。