Mar*_*son 1 active-directory ldap authentication
我们的电话系统能够通过 LDAP 加载其电话簿,但它仅支持非 SSL。
因此,我计划设置一个帐户,该帐户只能访问我们的 Active Directory LDAP 数据库,最好只有电话簿所需的两个或三个字段(全名、电话号码等)。
这些 LDAP 登录详细信息以纯文本形式存储在手机上(并且因为它是非 SSL,全部以纯文本形式传输),所以我对这种方式的安全性非常谨慎,它有点超出了我的权限以前必须在 Windows 中进行设置。
那么,如何为 Windows 用户帐户分配权限以仅允许 LDAP 访问,并且仅允许访问 LDAP 查询中的特定属性?
您将违反以下事实,即 Active Directory 中的默认权限对于“经过身份验证的用户”相当宽松,您创建的任何用户都将成为该“组”的成员。默认情况下,“Authenticated Users / Read”存在于目录域分区的顶部。
如果您想保持 Microsoft 的“支持”(以及让一切按您的预期工作),那么尝试更改这些默认权限将是有问题的。
如果您真的想严格限制访问,那么将数据从 AD 复制到另一个 LDAP 目录(例如Active Directory 轻量级目录服务 (AD LDS)或 OpenLDAP)中会更好,其权限比 Active Directory 的限制更多默认。
您也许可以找到一个 LDAP 代理来做同样的事情。那里有很多,但没有一个是我可以保证的直接经验。
| 归档时间: |
|
| 查看次数: |
1762 次 |
| 最近记录: |