我期待实现一个自助式密码pipe理系统,我发现这个:
http://code.google.com/p/pwm/
我有一个testing服务器设置,但经常无法使用我们正在使用的testing用户帐户读取AD。 我们现在唯一留下的,以及很多论坛提到的是,这个服务器和AD LDAP之间的连接需要安全(SSL)。
据我所知,我们需要在域中的一个DC上实现证书,密码服务器将在端口636上查询证书。从未实现过,我有点担心这会对读取产生什么影响AD的计算机和正在使用的用户帐户。
如果我在一台服务器上实现一个证书,它只会影响该服务器,或者整个AD变得安全,客户端是否继续以不安全的方式进行通信,并且只能是使用SSL进行通信的密码pipe理服务器。 我在互联网上搜了很多文章,但不能拿出一个明确的答案,我正在停止执行,因为我担心它可能会破坏一些东西。
这是testing环境的目的。
话虽如此,为一台服务器生成证书只影响到一台服务器。 它不会强制所有服务器使用基于证书的身份validation。
我假设你正在谈论设置LDAPS ,在这种情况下, 可以设置LDAPS,并仍然允许不安全的LDAP连接 。 也就是说,实际上是设置LDAPS的默认设置。 安全连接发生在端口636上,并且端口389保持打开状态以服务于非安全连接。
但是,除了这个testing环境外,我还build议如果你要在你的一个DC和一个密码服务器之间build立基于证书的authentication,你可以build立一个企业authentication中心 。
这是一个非常小的额外的努力,并将允许你轻松做一些事情,比如让所有你的域计算机信任它颁发的证书,设置无密码的无线validation(假设符合RADIUS标准的networking设备)和所有其他你可以做的事情用适当的PKI设置。