在 Active Directory 中启用 LDAPS 有多普遍?

在 Active Directory 中启用 LDAPS 有多普遍?

我们有一个使用未加密 LDAP 从 Active Directory 读取用户和组信息的应用程序。由于 Microsoft 将要求 LDAP 通道绑定和 LDAP 签名(根据ADV190023 安全公告),我们打算调整该应用程序以支持 LDAPS。

为了让我们的客户能够继续使用该应用程序,他们显然必须在其 Active Directory 中激活 LDAPS。我担心这可能会成为一个障碍,因为客户可能不希望 AD 认证服务和 SSL 证书处理产生额外的开销。

在 Active Directory 中启用 LDAPS 有多普遍?

答案1

对于 Windows 客户端,您不需要 LDAPS 来解决通道绑定问题,但对于任何其他非 Windows LDAP 客户端(包括嵌入在 Windows 应用程序中且不使用操作系统堆栈的 LDAP 客户端),您都需要 LDAPS 来解决它。

此外,任何对安全性有丝毫担忧的环境多年来一直在努力强制执行或实际上已经强制执行了这一点。

因此,它并不像它应该的那样普遍,但它很常见,而且我在过去十年或更长时间里一直在实施它。在现代 AD 中,证书服务只是其中不可或缺的一部分。

顺便说一句,您实际上并不需要 AD 证书服务,它只是让生活更轻松。您可以使用任何颁发具有适当功能的证书的证书提供商来执行 LDAPS。事实上,您根本不需要任何 CA 就可以执行 LDAPS - 您只需要在调用 LDAP 客户端上信任每个 DC(您将连接到的)的自签名证书(而不仅仅是颁发 CA 的根证书)。

对于供应商来说,我认为微软明确表示将 LDAPS 作为其产品支持的先决条件,这一点其实很公平。不过我个人认为,如今与 AD 集成的供应商也应该掌握 Kerberos 和 SAML/OAuth 等 SSO 身份验证提供商。

相关内容