我着手将Active Directory与Dell服务器的iDRAC LOM集成在一起。 其中一个先决条件是域控制器为ldap通信启用SSL。 iDRAC中的安装过程说Upload Active Directory CA Certificate 。 所以我login到我们的一个DC,去个人证书商店,而且是空的。 直到今天,我一直认为我们的域名服务使用SSL(我不是那个设置域名的人)。 我从来没有在自己的设置之前,我不太熟悉,所以我知道检查我们是否使用SSL的唯一方法是在DC上使用wireshark并捕获数据包。 在港口636捕获什么也没有,而在389捕获给我的各种数据。 所以在这一点上,我很确定我们没有使用SSL。
所以我的问题是,来回传输的目录信息被encryption有多重要? 我假设,如果没有encryption的话,无论你的域名是什么样子(无论公司是大还是小,安全规则等级不同),都会立即面临风险,那么微软就会强迫SSL。
很显然,我希望将AD与Dell服务器上的LOM集成,但在实施之前我还有一些工作要做。 我想要回答的几个问题是:
我应该知道我们面临的风险是不使用SSL
域成员的请求将使用SASL(请参阅: 本文档中的LDAP安全模型部分 )
可以拦截来自不能使用SALS的域成员或客户的请求。 在内部,这可能不是什么大不了的,因为你可能拥有一个交换networking,并且对物理基础设施有很好的控制。
如果我按照互联网上的百万个指南之一启用SSL,会中断当前的服务吗? 或者我将能够做到这一点,客户端机器将如何被通知自动使用SSL?
它不应该打断当前的服务。 某些客户端(如Dell LOM)需要configuration才能使用SSL端口,如果这些客户端正在运行,并且您希望启用SSL。 您不必在Windows服务器/工作站上执行任何操作。
我有两个DCs作为domain.local运行一个域。 既然是“内部”顶级域名(TLD),我猜我需要使用内部authentication机构而不是第三方进行设置?
你既可以做,也可以使用自签名证书。 有些客户不会喜欢这个自签名证书,但是你的Drac可能没有自签名证书。
build立一个企业CA是相对容易的,但它应该只是为了这个目的而在一个box / vm上。 你能买得起一个备用的Windows许可证吗?
你也可以运行一个OpenSSL CA,你可以很容易地从USB闪存中运行一个。 如果您熟悉Linux,那么设置运行tinyca的Ubuntu box / vm / usb设备应该只需要几个小时。
根据#1的答案,你会说离开SSL是安全的吗? 你会感觉到转换为ssl所带来的好处与努力的比例是什么?