通过 LDAP 查询 Active Directory 的受限帐户

通过 LDAP 查询 Active Directory 的受限帐户

我们的电话系统能够通过 LDAP 加载其电话簿,但它仅支持非 SSL。

因此,我计划建立一个帐户,仅有的有权读取我们的 Active Directory LDAP 数据库,并且最好只读取电话簿所需的两个或三个字段(全名、电话号码等)。

这些 LDAP 登录详细信息以纯文本形式存储在手机上(并且因为它是非 SSL,所以全部以纯文本传输),因此我对这种方式的安全性非常警惕,而且它有点超出了我以前必须在 Windows 中设置的权限类型。

那么,如何为 Windows 用户帐户分配权限以仅允许 LDAP 访问,以及仅允许访问 LDAP 查询中的特定属性?

答案1

您将违反以下事实:Active Directory 中的默认权限对于“经过身份验证的用户”相当宽容,“经过身份验证的用户”是您创建的任何用户都将成为其成员的“组”。默认情况下,目录的域分区顶部存在“经过身份验证的用户/读取”。

如果您希望继续获得 Microsoft 的“支持”(以及让一切按您预期的方式运行),尝试更改这些默认权限将会出现问题。

如果你真的想严格限制访问,最好将数据从 AD 复制到另一个 LDAP 目录(Active Directory 轻型目录服务 (AD LDS)或 OpenLDAP),其权限比 Active Directory 默认具有更严格的限制。

您可能能够找到 LDAP 代理来执行相同的操作。市面上有很多这样的代理,但我没有直接使用过,也无法保证其可靠性。

相关内容