在 Active Directory 中启用 LDAPS 有多普遍？

Question

对于 Windows 客户端，您不需要 LDAPS 来解决通道绑定问题，但对于任何其他非 Windows LDAP 客户端（包括嵌入在 Windows 应用程序中且不使用操作系统堆栈的 LDAP 客户端），您都需要 LDAPS 来解决它。

此外，任何对安全性有丝毫担忧的环境多年来一直在努力强制执行或实际上已经强制执行了这一点。

因此，它并不像它应该的那样普遍，但它很常见，而且我在过去十年或更长时间里一直在实施它。在现代 AD 中，证书服务只是其中不可或缺的一部分。

顺便说一句，您实际上并不需要 AD 证书服务，它只是让生活更轻松。您可以使用任何颁发具有适当功能的证书的证书提供商来执行 LDAPS。事实上，您根本不需要任何 CA 就可以执行 LDAPS - 您只需要在调用 LDAP 客户端上信任每个 DC（您将连接到的）的自签名证书（而不仅仅是颁发 CA 的根证书）。

对于供应商来说，我认为微软明确表示将 LDAPS 作为其产品支持的先决条件，这一点其实很公平。不过我个人认为，如今与 AD 集成的供应商也应该掌握 Kerberos 和 SAML/OAuth 等 SSO 身份验证提供商。

Answer 1

对于 Windows 客户端，您不需要 LDAPS 来解决通道绑定问题，但对于任何其他非 Windows LDAP 客户端（包括嵌入在 Windows 应用程序中且不使用操作系统堆栈的 LDAP 客户端），您都需要 LDAPS 来解决它。

此外，任何对安全性有丝毫担忧的环境多年来一直在努力强制执行或实际上已经强制执行了这一点。

因此，它并不像它应该的那样普遍，但它很常见，而且我在过去十年或更长时间里一直在实施它。在现代 AD 中，证书服务只是其中不可或缺的一部分。

顺便说一句，您实际上并不需要 AD 证书服务，它只是让生活更轻松。您可以使用任何颁发具有适当功能的证书的证书提供商来执行 LDAPS。事实上，您根本不需要任何 CA 就可以执行 LDAPS - 您只需要在调用 LDAP 客户端上信任每个 DC（您将连接到的）的自签名证书（而不仅仅是颁发 CA 的根证书）。

对于供应商来说，我认为微软明确表示将 LDAPS 作为其产品支持的先决条件，这一点其实很公平。不过我个人认为，如今与 AD 集成的供应商也应该掌握 Kerberos 和 SAML/OAuth 等 SSO 身份验证提供商。

在 Active Directory 中启用 LDAPS 有多普遍？

答案1

相关内容