我们最近实现了我们的AD在SSL/TLS上运行tcp/ip。但是当使用Wireshark时,我们可以看到AD也通过udp(CLDAP)以明文通信?是否可以在使用udp时强制AD使用SSL/TLS?
qltillow1#
UDP用于在各种情况下发送LDAP ping。通常,Windows不会使用您为任何本机功能启用的LDAP/S端点。它将在常规389/3268端口上签名/密封。
mo49yndu2#
SASL - Sign and seal是机会主义的。他们会尝试协商SASL,但如果请求系统没有配备,它将故障恢复到SIMPLE(不安全)ldap。您可以设置注册表拒绝SIMPLE,但要小心,这样做会破坏尚未修复的应用程序。https://support.microsoft.com/en-us/topic/2020-ldap-channel-binding-and-ldap-signing-requirements-for-windows-kb4520412-ef185fb8-00f7-167d-744c-f299a66fc00aHKEY本地计算机\系统\当前控制集\服务\NTDS\参数LdapEnforceChannelBinding = 2将拒绝简单LDAP。仅在修正客户端后执行此操作LdapEnforceChannelBinding = 1将记录2889个事件,这样您就可以找到原本会被排除但允许使用简单LDAP的客户端。注意LDAP是AD中不可或缺的一部分。该协议有3(4)个版本。匿名:用于所有Windows计算机的服务定位器。无需身份验证,因此被视为安全。UDP和TCP 389简单:旧的简单明文认证。应该避免TCP 389。这被认为是一个安全风险SASL协商身份验证。TCP 389 -客户端和服务器在提供凭据之前协商安全通信通道。所有现代Windows平台默认支持此功能,但必须在JAVA和许多非Windows服务器平台中显式启用。在Linux中,这可能称为协商TLS或Start-TLS。最后是显式加密或安全LDAP(LDAPS)。TCP 636类似于HTTPS。Internet X.509证书安装在LDAP服务器上,用于与客户端计算机协商安全通道。所有通信都是加密的。注意LDAPS使负载均衡器的使用变得棘手。您必须在负载均衡器上安装证书,否则将出现证书不匹配错误。
2条答案
按热度按时间qltillow1#
UDP用于在各种情况下发送LDAP ping。通常,Windows不会使用您为任何本机功能启用的LDAP/S端点。它将在常规389/3268端口上签名/密封。
mo49yndu2#
SASL - Sign and seal是机会主义的。他们会尝试协商SASL,但如果请求系统没有配备,它将故障恢复到SIMPLE(不安全)ldap。您可以设置注册表拒绝SIMPLE,但要小心,这样做会破坏尚未修复的应用程序。
https://support.microsoft.com/en-us/topic/2020-ldap-channel-binding-and-ldap-signing-requirements-for-windows-kb4520412-ef185fb8-00f7-167d-744c-f299a66fc00a
HKEY本地计算机\系统\当前控制集\服务\NTDS\参数
LdapEnforceChannelBinding = 2
将拒绝简单LDAP。仅在修正客户端后执行此操作
LdapEnforceChannelBinding = 1
将记录2889个事件,这样您就可以找到原本会被排除但允许使用简单LDAP的客户端。
注意LDAP是AD中不可或缺的一部分。该协议有3(4)个版本。
匿名:用于所有Windows计算机的服务定位器。无需身份验证,因此被视为安全。UDP和TCP 389
简单:旧的简单明文认证。应该避免TCP 389。这被认为是一个安全风险
SASL协商身份验证。TCP 389 -客户端和服务器在提供凭据之前协商安全通信通道。所有现代Windows平台默认支持此功能,但必须在JAVA和许多非Windows服务器平台中显式启用。在Linux中,这可能称为协商TLS或Start-TLS。
最后是显式加密或安全LDAP(LDAPS)。TCP 636类似于HTTPS。Internet X.509证书安装在LDAP服务器上,用于与客户端计算机协商安全通道。所有通信都是加密的。注意LDAPS使负载均衡器的使用变得棘手。您必须在负载均衡器上安装证书,否则将出现证书不匹配错误。