我需要支持需要访问 LDAP 服务器来定位 SMIME 密钥的 Mac 客户端。
由于密钥已经在 AD 中,并且我可以轻松创建 RODC 或只读林并将证书推送到其中,将未经身份验证的 LDAP 和 LDAP 暴露给互联网是否可以接受?
我能想到的一个问题是 LDAP 形式的目录收集攻击,其中垃圾邮件发送者可以确定哪些地址有效,哪些地址无效。
答案1
这完全取决于 LDAP 目录中的内容。
对于 Active Directory 来说,绝对不是,即使对于 RODC 也是如此 - 这些设备的安全配置文件是为在您的网络内部设计的(RODC 专门针对物理攻击进行了强化,因此您可以将其保存在壁橱中 - 普通 DC 的物理攻击将使攻击者控制域和所有用户的密码哈希)。
攻击者可以从 AD 中获取大量信息 - 尝试验证的用户名、系统名称、一定数量的网络拓扑...如果不足以进行直接攻击(针对不同公共端点的密码攻击,如 VPN?),肯定足以组织一次可靠的社会工程学或鱼叉式网络钓鱼攻击。
答案2
不,这通常不可接受。我不确定您想要实现什么,但我认为正确的方法是先建立 VPN 连接,然后连接到 LDAP。