Saf*_*ado 3 ssl active-directory
我开始将 Active Directory 与我们戴尔服务器的 iDRAC LOM 集成。先决条件之一是域控制器为 ldap 通信启用 SSL。iDRAC 中的设置过程说Upload Active Directory CA Certificate。所以我登录到我们的一个 DC,转到其个人证书存储,它是空的。直到今天,我一直认为我们的域服务使用 SSL(我不是设置域的人)。我从来没有在自己之前设置过它,而且我对里面和外面的东西不太熟悉,所以我知道检查我们是否使用 SSL 的唯一方法是在 DC 上使用 wireshark 并捕获数据包。在端口 636 上捕获没有产生任何结果,而在 389 上捕获给了我各种数据。所以在这一点上我很确定我们没有使用 SSL。
所以我的问题是,来回传输的目录信息加密有多重要?我假设,如果无论您的域是什么样的(无论公司是大是小,安全规则级别各不相同),如果存在未加密的直接风险,那么微软就会强制使用 SSL。
显然,我希望将 AD 与我的戴尔服务器上的 LOM 集成,但在实施之前我还有一些工作要做。我想回答的几个问题是:
如果不使用 SSL,我应该注意哪些风险?
域成员的请求将使用 SASL(请参阅:本文档中的 LDAP 安全模型部分)
可以拦截不是来自能够使用 SALS 的域成员或客户端的请求。在内部,这可能不是什么大问题,因为您可能拥有交换网络,并且可以很好地控制您的物理基础设施。
如果我按照互联网上百万个指南之一启用 SSL,它会中断当前的服务吗?或者我是否能够做到这一点,并且客户端机器将如何被告知自动使用 SSL?
它不应中断当前服务。某些客户端(如您的 Dell LOM)需要配置以使用 SSL 端口,如果当前正在运行,并且您想要启用 SSL。您不必在 Windows 服务器/工作站上执行任何操作。
我有两个 DC 作为 domain.local 运行单个域。由于它是一个“内部”TLD,我猜我需要使用内部 CA 而不是第三方来设置它?
您可以执行任一操作,您甚至可以使用自签名证书。有些客户不会喜欢这种自签名证书,但您的 Drac 可能会使用自签名证书。
设置企业 CA 相对容易,但出于此目的,它确实应该在 box/vm 上。您能负担得起备用的 Windows 许可证吗?
你也可以运行一个 OpenSSL CA,你可以很容易地从 USB 闪存驱动器运行一个。如果您熟悉 Linux,那么设置一个运行 tinyca 的 Ubuntu box/vm/usb 设备应该只需要几个小时。
根据#1 的答案,您认为远离 SSL 是安全的吗?您认为转换为 ssl 所涉及的收益与努力的比率是多少?
| 归档时间: |
|
| 查看次数: |
5237 次 |
| 最近记录: |