Назад | Перейти на главную страницу

Используется ли LDAP для чего-либо Active Directory, если я использую только Kerberos для аутентификации?

В моем домене только для Windows Kerberos используется для всей аутентификации. Я понимаю, что контроллеры домена реплицируются и аутентифицируются с помощью RPC. Используется ли LDAP для чего-нибудь еще? Должен ли я закрыть неиспользуемый порт LDAP 389 на всех серверах и клиентах?

Использует ли Active Directory LDAP для авторизации, поиска и т. Д.?

Нет, не стоит. LDAP является фундаментальным для многих процессов в Active Directory. Например:

  • Когда вы выполняете интерактивный вход в систему на клиенте, клиент выполняет серию DNS-запросов, чтобы определить лучший контроллер домена, а затем выполняет серию тестов на tcp / 389.
  • Схема Active Directory загружается на клиент с помощью LDAP на tcp / 389.
  • Клиент групповой политики использует LDAP для получения компонента информации о политике, который хранится в Active Directory.
  • Многие инструменты командной строки и инструменты управления, интегрированные в систему, используют LDAP (пользователи и компьютеры Active Directory, сайты и службы Active Directory и т. Д.).
  • МНОГО другого.

Чтобы подтвердить это, довольно легко выполнить захват сетевого пакета.

Похоже, вы путаете NTLM с Kerberos. Возможно использование Kerberos вместо NTLM / 2, хотя клиент попытается вернуться к NTLM / 2, если проверка подлинности Kerberos невозможна.

Кроме того, невозможно использовать только LDAPS tcp / 636 вместо tcp / 389, если на контроллерах домена установлены сертификаты. Это не принесет никаких полезных преимуществ, поскольку LDAPS в первую очередь предназначен для приложений, которые аутентифицируются с помощью простой привязки (имя пользователя + пароль).