我们最近实施了我们的 AD,以通过 SSL/TLS 运行 tcp/ip。但是当使用 Wireshark 时我们可以看到 AD 也通过 udp(CLDAP) 以明文方式通信?是否可以在使用 udp 时强制 AD 使用 SSL/TLS?
UDP 用于在各种场景下发送 LDAP ping。通常,Windows 不会使用您为任何本机功能启用的 LDAP/S 端点。但是它将通过常规 389/3268 端口签名/盖章。
SASL - 签名和盖章是机会主义的。他们将尝试协商 SASL,但如果未配备请求系统,它将故障回复到 SIMPLE(不安全)ldap。您可以将注册表设置为拒绝 SIMPLE,但要小心,这样做会破坏尚未修复的应用程序。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
LdapEnforceChannelBinding = 2
将拒绝简单的 LDAP。只有在你已经修复了客户之后才做
LdapEnforceChannelBinding = 1
将记录 2889 个事件,以便您可以找到原本会被排除但允许简单 LDAP 的客户端。
注意 LDAP 在 AD 中是不可或缺的。该协议有 3 (4) 个版本。
匿名:用于所有 Windows 机器的服务定位器。不需要身份验证,因此被认为是安全的。 UDP 和 TCP 389
SIMPLE:旧的简单纯文本身份验证。应避免使用 TCP 389。这被认为是安全风险
SASL 协商认证。 TCP 389 - 客户端和服务器在提供凭据之前协商安全通信通道。所有现代 windows 平台默认支持此功能,但必须在 JAVA 和许多非 windows 服务器平台中明确启用。在 Linux 中,这可能称为协商 TLS 或 Start-TLS。
最后是显式加密或安全 LDAP (LDAPS)。 TCP 636 类似于 HTTPS。 Internet X.509 证书安装在 LDAP 服务器上,用于与客户端计算机协商安全通道。所有通信都经过加密。注意 LDAPS 使负载平衡器的使用变得棘手。您必须在负载均衡器上安装证书,否则会出现证书不匹配错误。