使用匿名访问 AD 林的 LDAP

使用匿名访问 AD 林的 LDAP

存在与 AD 相关的问题,我不明白缺少什么配置来修复该问题。

我有两个 DC:testa 和 testb,并且都包含 AD。

我已登录 testa 并尝试获取 testb 中的所有域。

当我使用 LDAP 时,以下行使用对 DC testb 的匿名访问按预期工作:DirectoryEntry trustForest = new DirectoryEntry("LDAP://tstb.local/RootDSE");

但是当我使用 LDAPS 时,即将 AuthenticationType 配置为 AuthenticationTypes.SecureSocketsLayer,出现以下错误:

登录失败:未知用户名或密码错误

如果我向 DirectroyEntry 提供用户名和密码,如下所示:

DirectoryEntry trustForest = new DirectoryEntry("LDAP://tstb.local/RootDSE",用户,密码);

它工作正常。

使用 LDAPS 时是否可以使用匿名访问?我不希望用户保留 DC 的所有用户和密码以获取其中可用的域。

答案1

出于非常好的安全原因,匿名 LDAP 查询通常在 Active Directory 域控制器上被禁用。

任何经过身份验证的用户都可以执行 LDAP 查询(只要他们只读取非敏感数据);因此,最好的方法是为此目的创建一个通用用户帐户,并在某些应用程序或设备需要查询 AD 以获取信息时使用它(例如网络打印机/扫描仪、防火墙、代理、无线接入点......)。

相关内容