我着手将 Active Directory 与 iDRAC LOM 集成用于我们的 Dell 服务器。其中一个先决条件是域控制器必须启用 SSL 才能进行 ldap 通信。iDRAC 中的设置过程显示Upload Active Directory CA Certificate。因此,我登录到我们的一个 DC,转到其个人证书存储,但其中没有任何内容。直到今天,我一直认为我们的域服务使用 SSL(域不是我设置的)。我以前从未自己设置过它,也不太熟悉其来龙去脉,所以我所知道的检查我们是否使用 SSL 的唯一方法是在 DC 上使用 wireshark 并捕获数据包。在端口 636 上捕获没有得到任何结果,而在 389 上捕获则给了我各种数据。所以现在我很确定我们没有使用 SSL。
所以我的问题是,来回传输的目录信息加密有多重要?我假设,如果无论你的域名是什么样(无论公司规模大小,安全规则级别不同),都有不加密的直接风险,那么微软就会强制使用 SSL。
显然,我希望在我的戴尔服务器上将 AD 与 LOM 集成,但在实现它之前我还有一些工作要做。我希望得到以下问题的答案:
- 我应该意识到不使用 SSL 会面临哪些风险
- 如果我按照互联网上数以百万计的指南之一启用 SSL,这会中断当前服务吗?或者我是否可以这样做,客户端计算机是否会以某种方式被通知自动使用 SSL?
- 我有两个 DC 以 domain.local 的形式运行同一个域。由于它是“内部”TLD,我猜我需要使用内部 CA 而不是第三方 CA 来设置它?
- 根据问题 1 的答案,您认为不使用 SSL 是否安全?您认为益处到转换为 SSL 所需的努力?
答案1
我应该意识到不使用 SSL 会面临哪些风险
域成员的请求将使用 SASL(请参阅:本文档中的 LDAP 安全模型部分)
不是来自域成员或能够使用 SALS 的客户端的请求可能会被拦截。从内部来看,这可能不是什么大问题,因为您可能拥有交换网络,并且对物理基础设施有很好的控制。
如果我按照互联网上数以百万计的指南之一启用 SSL,这会中断当前服务吗?或者我是否可以这样做,客户端计算机是否会以某种方式被通知自动使用 SSL?
它不应中断当前服务。如果某些客户端(如您的 Dell LOM)当前正在运行,并且您想要启用 SSL,则需要配置才能使用 SSL 端口。您不必在 Windows 服务器/工作站上执行任何操作。
我有两个 DC 以 domain.local 的形式运行同一个域。由于它是“内部”TLD,我猜我需要使用内部 CA 而不是第三方 CA 来设置它?
您可以选择其中任意一种,甚至可以使用自签名证书。有些客户不喜欢这种自签名证书,但您的 Drac 可能对自签名证书没有意见。
设置企业 CA 相对容易,但实际上应该将其放在仅用于此目的的机器/虚拟机上。您能负担得起备用的 Windows 许可证吗?
您还可以运行 OpenSSL CA,您可以从 USB 闪存驱动器运行它相当容易。如果您熟悉 Linux,那么设置运行 tinyca 的 Ubuntu box/vm/usb 设备只需几个小时。
根据 #1 的答案,您认为不使用 SSL 是安全的吗?您认为转换为 SSL 的收益与工作量之比是多少?
- 如果您不信任您的物理基础设施,那么您可能应该启用 SSL。
- 如果您的服务器数量非常少,那么可能不值得付出努力。
- 您可能能够使用 ipsec 或某些 VPN 来加密 LDAP 以降低风险。
- 正如 Evan 在评论中提到的,DRAC LOM 基本上提供物理访问,因此您应该强烈考虑设置 SSL 来保护您免受 MITM 的侵害。