如果我仅使用 Kerberos 进行身份验证,Active Directory 是否会将 LDAP 用于任何用途?

如果我仅使用 Kerberos 进行身份验证,Active Directory 是否会将 LDAP 用于任何用途?

在我的 Windows 域中,所有身份验证均使用 Kerberos。据我了解,域控制器使用 RPC 进行复制和身份验证。LDAP 是否用于其他用途?我是否应该关闭所有服务器和客户端上未使用的 389 LDAP 端口?

Active Directory 是否使用 LDAP 进行授权、查找等?

答案1

不,您不应该这样做。LDAP 是 Active Directory 中许多进程的基础。例如:

  • 当您在客户端上执行交互式登录时,客户端会执行一系列 DNS 查找以确定最佳域控制器,然后对 tcp/389 执行一系列测试。
  • 使用 tcp/389 上的 LDAP 将 Active Directory 模式下载到客户端。
  • 组策略客户端使用 LDAP 来检索存储在 Active Directory 中的策略信息组件。
  • 许多命令行工具和系统集成管理工具使用 LDAP(Active Directory 用户和计算机、Active Directory 站点和服务等)。
  • 大量其他东西。

执行网络数据包捕获来确认这一点相当容易。

听起来你可能把 NTLM 与 Kerberos 混淆了。虽然如果无法进行 Kerberos 身份验证,客户端会尝试回退到 NTLM/2,但可以使用 Kerberos 代替 NTLM/2。

此外,如果您在域控制器上安装了证书,则无法仅使用 LDAPS tcp/636 代替 tcp/389。这不会带来任何有用的好处,因为 LDAPS 主要用于使用简单绑定(用户名+密码)进行身份验证的应用程序。

相关内容