我正在寻找实现自助密码管理系统的方法,我发现:
我设置了一个测试服务器,但总是无法使用我们正在使用的测试用户帐户读取 AD。我们现在唯一剩下的事情以及许多论坛提到的是,该服务器和 AD LDAP 之间的连接需要是安全的 (SSL)。
据我了解,我们需要在域中的一个 DC 上实施证书,密码服务器将在端口 636 上对其进行查询。由于从未实施过此操作,我有点担心这会对计算机和正在使用的用户帐户读取 AD 产生什么影响。
如果我在一台服务器上实施一个证书,它是否只会影响该服务器,还是整个 AD 都会变得安全,客户端是否会继续以不安全的方式进行通信,并且只有密码管理服务器才会使用 SSL 进行通信。我在网上搜索了很多文章,但无法得出一个明确的答案,我暂停了实施,因为我担心它可能会破坏某些东西。
答案1
这就是测试环境的用途。
话虽如此,为一台服务器生成证书只会影响这台服务器。它不会以某种方式强制所有服务器使用基于证书的身份验证。
我想你说的是设置 LDAPS,在这种情况下,可以设置 LDAPS 并仍然允许非安全的 LDAP 连接。这实际上是设置 LDAPS 的默认设置。安全连接发生在端口 636 上,而端口 389 仍保持开放以提供非安全连接服务。
但是,除了测试环境的用途之外,我建议,如果你要在其中一个 DC 和密码服务器之间设置基于证书的身份验证,你不妨设置一个企业证书颁发机构。
这是非常小的额外努力,并且将允许您轻松地完成一些事情,例如让所有域计算机信任它颁发的证书,设置无密码无线身份验证(假设符合 RADIUS 的网络设备)以及您可以使用适当的 PKI 设置完成的所有其他巧妙的事情。