服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如果我只使用Kerberos进行身份validation,Active Directory使用的是LDAP吗?
Intereting Posts
如何挂载交换文件的dd映像 在大文件中search文本的工具 编译一个单独的内核模块(Debian / Ubuntu) 本地域DNS与全局DNS设置 自动映像从networking部署到多个不同的机器 Linux文件系统上的相同目录不是符号链接。 还有什么可以的? 还原OpenVZ快照时与pid文件有关的问题 HP NC364T VLAN问题 如何确定是否需要重启由于Ubuntu上的升级? 如何完全卸载MySQL? 在Mac上本地复制Linux生产环境 2015年Skype for Business(SfB)/ Skype联合和公共Skype电话号码簿search 正常路由http和sshstream量,一切通过vpn隧道 rsyslog现在。 filter不起作用 使用postfix,policyd和amavis过滤垃圾邮件到IMAP文件夹?

如果我只使用Kerberos进行身份validation,Active Directory使用的是LDAP吗?

在我唯一的Windows域中,Kerberos用于所有身份validation。 我理解的域控制器使用RPC进行复制和身份validation。 LDAP是否用于其他任何东西? 我应该closures所有服务器和客户端上未使用的389 LDAP端口吗?

Active Directory是否使用用于授权,查找等的LDAP?

不,你不应该。 LDAP是Active Directory中许多进程的基础。 例如:

  • 在客户端上执行交互式login时,客户端执行一系列DNS查找以确定最佳域控制器,然后在tcp / 389上执行一系列testing。
  • 使用tcp / 389上的LDAP将Active Directory架构下载到客户端。
  • 组策略客户端使用LDAP来检索存储在Active Directory中的策略信息组件。
  • 许多命令行工具和系统集成pipe理工具使用LDAP(Active Directory用户和计算机,Active Directory站点和服务等)。
  • 一些其他的东西。

执行networking数据包捕获相当容易,以确认这一点。

这听起来像你可能会混淆NTLM和Kerberos。 可能可以使用Kerberos代替NTLM / 2,但是如果Kerberos身份validation不可行,则客户端将试图回退到NTLM / 2。

此外,如果在域控制器上安装了证书,则不能仅使用LDAPS tcp / 636来代替tcp / 389。 这不会提供任何有用的好处,因为LDAPS主要用于使用简单绑定(用户名+密码)进行身份validation的应用程序。