Минимальные права безопасности для предварительной обработки запросов LDAP в Active Directory

Question

Наша компания пытается внедрить несколько приложений единого входа с использованием Active Directory (Windows Server 2003) и LDAP. Я хотел бы заблокировать учетную запись, используемую для выполнения этих запросов LDAP, насколько это возможно. Как лучше настроить этот тип учетной записи?

Answer 1

Вы можете ограничить / разрешить то, что пользователь может или может видеть / запрашивать в AD, с помощью мастера делегирования. Вы можете легко получить доступ к мастеру делегирования, щелкнув правой кнопкой мыши по подразделению и выбрав Управление делегированием. Вы также можете взглянуть на эти статьи:

Проблемы безопасности по умолчанию при делегировании Active Directory

Рекомендации по делегированию администрирования Active Directory: как работает делегирование в Active Directory

Рекомендации по делегированию администрирования Active Directory: пример: сценарий делегирования

Answer 2

См. Как настроить Active Directory для разрешения анонимных запросов для обеспечения минимальной безопасности.

По умолчанию реализация Microsoft LDAP не поддерживает Secure LDAP. Для настройки защищенного LDAP с использованием SSL сертификаты должны быть установлены как на сервере LDAP, так и на клиенте (ах) LDAP. Во многих случаях LDAP-сервер является контроллером домена, на котором работает Active Directory.

Сертификаты, необходимые для запуска защищенного LDAP с использованием SSL, можно настроить несколькими способами. Концепция всегда одна и та же:

• Домен Active Directory Контроллер использует специальный сертификат выдается доверенным центр сертификации.
• Чистый компьютер доверяет центр сертификации, который выдает Актив Активу Каталог контроллера домена.