我想与外部服务提供商建立安全的 LDAP 身份验证。最终用户目前对服务提供商使用不安全的 LDAP。服务提供商承认他们最初的实现方式是通过数据包捕获暴露凭据。
他们的本地域名是 *.local。产品制造商需要由有效证书颁发机构签名的 SSL 证书。这很好。我可以为该域创建 SSL 证书,但它与目录服务所拥有的证书不匹配。
我不确定外部身份验证是如何呈现给 LDAP 服务器的,它是否只是传递带有域名的用户名,或者它是否首先验证 LDAP 服务器。
问题 - 我是否需要重命名域名以匹配?添加 UPN 后缀是否可以解决问题?
编辑:需要通过互联网进行外部访问,因此需要保护 LDAP。
更新文本以提高清晰度
答案1
在其间放置一个 TLS 代理(例如 TCP 模式下的 HAProxy),并使用适当的 DNS 名称(例如 ldap.mycompany.com)和证书发布它。
后端 LDAP 流量仍然可以是纯文本,或者使用带有自签名或内部 CA 证书的内部名称 (.local)。