Я устанавливаю в своей организации брандмауэр Sonicwall. Я подключил Sonicwall к домену Active Directory, однако теперь на странице состояния устройства появляется огромное предупреждение:
WARNING: LDAP is being used without TLS - this is highly insecure.
Я понимаю, что соединение между FW и DC осуществляется открытым текстом, и хотя это не большая проблема, поскольку Sonicwall и контроллеры домена находятся в локальной сети и в одной подсети, мы все же хотим зашифровать трафик для соблюдать наши правила.
Когда я искал на других форумах, люди упоминают, что мне нужно применить сертификат к контроллеру домена в соответствии с эта статья MS в котором также упоминается установка служб сертификации AD.
Есть ли другой способ шифрования трафика LDAP без установки дополнительной роли (AD CS) на контроллере домена? Установка дополнительной роли в контроллер домена для одной простой задачи кажется мне излишним - как забить иголку кувалдой.
Также, если я действительно собираюсь установить и развернуть центр сертификации в нашей организации, как это повлияет на это? У меня нет опыта работы с ним, есть ли какие-либо последствия и / или проблемы, о которых я должен знать?
TLS требует сертификатов. Если вы не хотите устанавливать собственный ЦС и управлять им, приобретите / приобретите сертификат в общедоступном ЦС.