【发布时间】:2009-05-05 03:25:40
【问题描述】:
我们公司正在尝试使用 Active Directory (Windows Server 2003) 和 LDAP 实施一些单点登录应用程序。我想尽可能多地锁定用于进行这些 LDAP 查询的帐户。配置此类帐户的最佳做法是什么?
【问题讨论】:
标签: security active-directory ldap single-sign-on user-accounts
【发布时间】:2009-05-05 03:25:40
【问题描述】:
您可以通过轻松使用委派向导来限制/允许用户在 AD 中可以看到/查询的内容。您可以通过右键单击 OU 并选择委派控制轻松访问委派向导。您可能还想看看这些文章:
Default security concerns in Active Directory delegation
Best practices for delegating Active Directory administration: Case study: a delegation scenario
【讨论】:
请参阅How to configure Active Directory to allow anonymous queries 了解最低安全性。
默认情况下,Microsoft LDAP 实施不支持安全 LDAP。要使用 SSL 设置安全 LDAP,必须在 LDAP 服务器和 LDAP 客户端上都安装证书。在许多情况下,LDAP 服务器是运行 Active Directory 的域控制器。
可以通过多种方式配置使用 SSL 运行安全 LDAP 所需的证书。这个概念总是一样的:
- Active Directory 域 控制器使用特殊证书 由受信任的机构发行 证书颁发机构。
- 客户端计算机信任 颁发证书的认证机构 证书到 Active 目录域控制器。
【讨论】:
-
匿名查询是不必要的(而且安全性较低),因为 OP 明确设置了“绑定”用户。链接到整篇文章可能会给读者一种他们应该遵循所有说明的印象。最好引用与 OP(和未来访问者)特定需求相关的部分。如果您想引用出处,请明确说明这不是推荐的策略。