Кажется, я просто споткнулся о собственные ноги.
Играя на сервере Windows 2008 R2 (настроенном как контроллер домена), я был заинтригован некоторым предупреждающим событием (идентификатор события 2886), в котором говорится:
«Чтобы повысить безопасность серверов каталогов, вы можете настроить как доменные службы Active Directory (AD DS), так и службы Active Directory облегченного доступа к каталогам (AD LDS), чтобы требовать привязки подписанного протокола облегченного доступа к каталогам (LDAP)».
Поэтому я бездумно погуглил и установил соответствующие политики, обеспечивающие подписание LDAP. Сейчас я не помню, но, возможно, я сделал это с помощью локальной политики.
Теперь у меня есть окно pfsense, которое должно аутентифицировать пользователей AD через LDAP. Хотя брандмауэр может обмениваться данными по защищенному каналу, управлять им для других пакетов, таких как Squid и SquidGuard, сложно. Итак, теперь мне нужно отключить, то есть отменить эти изменения политики.
Проблема в том, что они неактивны!
Речь идет о подписи сервера LDAP и подписи клиента LDAP. Я не помню, что я сделал, но когда я обращаюсь к этим политикам из редактора локальной политики на сервере, они устанавливаются на «Требовать подписи» и отображаются серым цветом. Те же политики можно установить с помощью параметра «Контроллер домена по умолчанию» в редакторе групповой политики.
Итак, как я могу сбросить эти серые политики?
Спасибо
Обновить:
Я редактировал реестр:
Найдите и щелкните следующий подраздел реестра: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NTDS \ Parameters
Щелкните правой кнопкой мыши запись реестра LDAPServerIntegrity и выберите команду Изменить. Измените значение Value на 1 (было 2), а затем нажмите OK.
«Контроллер домена: требования к подписи сервера LDAP» в локальной политике теперь установлен на «нет». Ранее значение было «Требовать подписи». Однако он по-прежнему неактивен. Почему он неактивен ... Не понимаю.
Блок pfsense теперь мог аутентифицировать пользователей через LDAP ... но после перезапуска системы политика снова была сброшена на «Требовать подписи»
Итак .... проблема не устранена.