Мне нужно присоединить компьютеры к нашему домену Active Directory. Эти компьютеры находятся в ненадежной сети.
Как заставить клиентские компьютеры использовать безопасные протоколы (LDAPS вместо LDAP) для присоединения к домену?
Я согласен с другими авторами, которые говорят, что вам нужно решение сетевого уровня, но я не согласен с советом использовать VPN-клиент. Это добавляет сложности, и, если вы ищете клиентов в ненадежной сети для применения групповой политики во время запуска, это, скорее всего, невозможно с клиентом VPN.
Присоединение к домену (и аутентификация в целом) будет наименьшей из моих проблем при работе с клиентами в ненадежной сети. Я был бы гораздо больше озабочен трафиком открытого текста к вашим файловым серверам, серверам приложений и т. Д. Я считаю, что шифрование и аутентификация сетевого уровня в порядке.
IPSEC - это то, что вы здесь ищете. Первым шагом является развертывание политики IPSEC на компьютерах контроллеров домена, которая требует связи IPSEC с подсетями, в которых находятся недоверенные клиенты (в идеале, также применительно к компьютерам рядовых серверов, с которыми клиенты будут взаимодействовать).
Второй шаг - использовать Протокол AuthIP для безопасного присоединения клиентов к домену. AuthIP позволяет клиентам устанавливать соединение IPSEC с контроллером домена во время процесса присоединения к домену. AuthIP, к сожалению, довольно плохо документирован Microsoft. Это было в Windows Server и клиентских продуктах со времен Windows Vista.
Другой вариант может быть DirectAccess VPN (который работает "прозрачно" и не требует выполнения клиентской программы) вместе с автономное присоединение к домену для загрузки клиентов в домен и получения их с помощью DirectAccess. DirectAccess основан на IPSEC (IPv6 туннелируется через ненадежную сеть IPv4 или IPv6 в вашу надежную локальную сеть), поэтому вы также получаете шифрование сетевого уровня и аутентификацию, используя этот метод.
Вы можете загрузить программное обеспечение VPN и заставить их установить VPN-соединение до присоединения к домену.
Невозможно принудительно использовать LDAPS через LDAP, кроме как путем блокировки порта. Ldaps - не совсем то решение, которое вам здесь нужно. Я не верю, что присоединение к домену (с рабочими станциями Windows XP +) использует простую привязку для подключения.
Важно помнить, что доступны только передачи данных LDAP. Другие данные аутентификации или авторизации с использованием Kerberos, SASL и даже NTLM имеют свои собственные системы шифрования. Таким образом, вы на самом деле не ставите под угрозу свою учетную запись и пароль.
Если вам это нужно, следующие Статья объясняет, как настроить LDAPS в домене Windows, но, опять же, это действительно необходимо только тогда, когда вы используете сторонний доступ к AD.
Это необходимо решать на сетевом уровне. Как рекомендуется uslackr, вы можете использовать VPN для создания безопасного сетевого подключения.
LDAP - лишь один из многих протоколов, которые могут потребоваться, и было бы беспорядочно пытаться исправить на уровне операционной системы.
LDAP tcp/389 udp/389
LDAP for Global Catalog tcp/3268
NetBIOS (if used) 137, 138, 139
CIFS tcp/445 udp/445
LDAPS tcp/636
LDAPS for Global Catalog tcp/3269
NTP tcp/123
RPC Dynamic (all ports above 49152 in Windows 7, or above 1024 in Windows 2003)
RPC Endpoint Mapper tcp/135
DNS tcp/53 udp/53
Kerberos tcp/88 (may also need udp/88 if not forcing kerberos over tcp)