Мне нужно поддерживать клиентов Mac, которым требуется доступ к серверу LDAP для поиска ключей SMIME.
Поскольку ключи уже находятся в AD, и мне легко создать RODC или лес только для чтения, куда я отправляю сертификаты, допустимо ли предоставлять неаутентифицированные LDAP и LDAP в Интернет?
Одна проблема, о которой я могу подумать, - это LDAP-форма атаки сбора каталогов, когда спамер может определить, какие адреса действительны, а какие нет.
Это полностью зависит от того, что находится в каталоге LDAP.
Для Active Directory - абсолютно нет, даже для RODC - профиль безопасности этих устройств предназначен для работы в вашей сети (RODC специально защищен от физического взлома, поэтому вы можете хранить его в шкафу - физический компромисс обычного DC предоставит злоумышленнику контроль над доменом и хэшами паролей всех пользователей).
Злоумышленник может получить массу информации из AD - имена пользователей для аутентификации, имена систем, некоторая топология сети ... если этого недостаточно для прямой атаки (атаки паролем на другую общедоступную конечную точку, например, VPN?), Конечно достаточно, чтобы организовать надежную социальную инженерию или целевую фишинговую атаку.
Нет, это было бы неприемлемо. Не уверен, чего вы пытаетесь достичь, но я бы сказал, что правильный способ - сначала установить VPN-соединение, а затем подключиться к LDAP.