Я хочу реализовать систему управления паролями самопомощи, я нашел это:
У меня есть тестовый сервер, но я постоянно не могу заставить его читать AD с тестовыми учетными записями пользователей, которые мы используем. Единственное, что у нас осталось, и о чем упоминают многие форумы, - это то, что соединение между этим сервером и AD LDAP должно быть безопасным (SSL).
Насколько я понимаю, нам нужно реализовать сертификат на одном из контроллеров домена в домене и на том, который сервер паролей будет запрашивать на порту 636. Я никогда не реализовывал это, я немного обеспокоен тем, какое влияние это окажет на чтение AD с помощью компьютеров и учетных записей пользователей, которые используются.
Если я реализую один сертификат на одном сервере, это повлияет только на этот сервер или весь AD станет безопасным, будут ли клиенты продолжать общаться в небезопасном режиме, и это будет только сервер управления паролями, который общается по SSL. Я просмотрел много статей в Интернете, но не могу придумать однозначного ответа, и я остановился с реализацией, поскольку я обеспокоен, что это может что-то сломать.
Для этого и нужны тестовые среды.
При этом создание сертификата для одного сервера влияет только на этот сервер. Это каким-то образом не заставляет все серверы использовать аутентификацию на основе сертификатов.
Я полагаю, ты говоришь о настройка LDAPS, и в этом случае можно настроить LDAPS и по-прежнему разрешать незащищенные соединения LDAP. Фактически это значение по умолчанию для настройки LDAPS. Безопасные соединения происходят через порт 636, а порт 389 остается открытым для обслуживания незащищенных соединений.
Однако, в дополнение к тому, для чего предназначены тестовые среды, я бы посоветовал, если вы собираетесь настроить аутентификацию на основе сертификатов между одним из ваших контроллеров домена и сервером паролей, вы также можете настроить центр сертификации предприятия.
Это минимальные дополнительные усилия и позволит вам легко делать такие вещи, как заставить все ваши компьютеры домена доверять сертификатам, которые он выдает, настроить беспроводную аутентификацию без пароля (при условии, что сетевые устройства, совместимые с RADIUS) и все другие полезные вещи, которые вы можете сделать. с правильной настройкой PKI.