使用 SSL 证书进行安全 LDAP 身份验证

使用 SSL 证书进行安全 LDAP 身份验证

我想与外部服务提供商建立安全的 LDAP 身份验证。最终用户目前对服务提供商使用不安全的 LDAP。服务提供商承认他们最初的实现方式是通过数据包捕获暴露凭据。

我已经评论过: https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-third-party-certification-authority

他们的本地域名是 *.local。产品制造商需要由有效证书颁发机构签名的 SSL 证书。这很好。我可以为该域创建 SSL 证书,但它与目录服务所拥有的证书不匹配。

我不确定外部身份验证是如何呈现给 LDAP 服务器的,它是否只是传递带有域名的用户名,或者它是否首先验证 LDAP 服务器。

问题 - 我是否需要重命名域名以匹配?添加 UPN 后缀是否可以解决问题?

编辑:需要通过互联网进行外部访问,因此需要保护 LDAP。

更新文本以提高清晰度

答案1

在其间放置一个 TLS 代理(例如 TCP 模式下的 HAProxy),并使用适当的 DNS 名称(例如 ldap.mycompany.com)和证书发布它。

后端 LDAP 流量仍然可以是纯文本,或者使用带有自签名或内部 CA 证书的内部名称 (.local)。

相关内容