Я решил интегрировать Active Directory с iDRAC LOM для наших серверов Dell. Одним из предварительных условий является включение SSL для контроллеров домена для связи ldap. В процессе настройки iDRAC говорится Upload Active Directory CA Certificate. Итак, я вхожу в один из наших контроллеров домена, захожу в его личное хранилище сертификатов, а оно пустое. До сегодняшнего дня я всегда предполагал, что наши доменные службы используют SSL (домен настраивал не я). Я никогда не настраивал его раньше, и я не слишком хорошо знаком с входами и выходами, поэтому единственный известный мне способ проверить, используем ли мы SSL или нет, - это использовать wirehark на DC и захватывать пакеты. Захват на порту 636 ничего не дал, в то время как захват на 389 дал мне все виды данных. Итак, на данный момент я почти уверен, что мы не используем SSL.
Итак, мой вопрос: насколько важно, чтобы информация каталога, передаваемая туда и обратно, была зашифрована? Я предполагаю, что если бы существовал непосредственный риск того, что он не будет зашифрован, независимо от того, на что похож ваш домен (большая или маленькая компания с различными уровнями правил безопасности), Microsoft просто принудила бы использовать SSL.
Очевидно, я хотел бы иметь интеграцию AD с LOM на моих серверах Dell, но мне нужно поработать, прежде чем внедрять ее. Я хотел бы получить ответы на несколько вопросов:
С какими рисками я должен знать, с которыми мы сталкиваемся, не используя SSL
Запросы членов домена будут использовать SASL (см .: Раздел "Модель безопасности LDAP" в этом документе)
Запросы, не поступающие от члена домена или клиента, который может использовать SALS, могут быть перехвачены. На внутреннем уровне это может быть не так уж важно, поскольку у вас, вероятно, есть коммутируемая сеть и вы хорошо контролируете свою физическую инфраструктуру.
Если я воспользуюсь одним из миллионов руководств в Интернете по включению SSL, прервется ли это текущее обслуживание? Или я смогу это сделать, и клиентские машины каким-то образом будут проинформированы об использовании SSL автоматически?
Это не должно прерывать текущее обслуживание. Некоторым клиентам (например, вашему Dell LOM) потребуется настройка для использования порта SSL, если они в настоящее время работают, и вы хотите включить SSL. Вам не нужно ничего делать на ваших серверах / рабочих станциях Windows.
У меня есть два контроллера домена с одним доменом под именем domain.local. Поскольку это «внутренний» TLD, я предполагаю, что мне нужно будет настроить его, используя внутренний центр сертификации, а не стороннюю организацию?
Вы можете сделать то же самое, вы даже можете использовать самозаверяющий сертификат. Некоторым клиентам не понравится самоподписанный сертификат, но вашему Drac, вероятно, подойдет самозаверяющий сертификат.
Настроить корпоративный ЦС относительно просто, но на самом деле он должен быть на коробке / виртуальной машине только для этой цели. Можете ли вы позволить себе лишнюю лицензию на Windows?
Вы также можете запустить OpenSSL CA, вы можете запустить его с USB-накопителя. довольно легко. Если вы знакомы с Linux, то настройка устройства Ubuntu box / vm / usb под управлением tinyca займет всего пару часов.
Основываясь на ответе №1, можно ли безопасно использовать SSL? Каково, по вашему мнению, соотношение пользы и усилий, затраченных на преобразование в SSL?