O LDAP sobre o SSL requer um certificado do cliente?

Question

O LDAP sobre o SSL requer um certificado do cliente?

estou a tentar resolver um problema em que tentar definir uma senha de utilizador sobre LDAP está a falhar por causa de um erro de acesso negado - mesmo que esteja a autenticar-me contra o anúncio com um utilizador de administração.

uma resposta encontrada no stackoverflow diz que ou tenho de executar o utilizador IIS como utilizador administrativo (que funciona) ou devo ligar-me ao LDAP através do SSL. Eu não posso ir com a primeira opção, porque eu estou usando feijoeiro elástico que vai criar e terminar instâncias, então eu não posso alterar / definir o utilizador que o IIS irá executar como. Então eu estou tentando usar o LDAP sobre a idéia SSL. A minha pergunta é se isso ainda exige que o próprio cliente também tenha um certificado instalado para estabelecer a confiança com o controlador de domínio? Ou isto funciona apenas instalando um certificado no controlador de domínio e permitindo a conexão sobre SSL? Se ele requer um certificado no cliente então eu tenho o mesmo problema que eu não posso instalar qualquer coisa no servidor do cliente que não o implantado app uma vez que o pé de feijão vai recerear e encerrar esse caso à vontade.

Então, os LDAPS precisam de cert sobre o cliente? Existe uma maneira melhor de resolver o meu problema dada a infra-estrutura que estou a usar?

2

ssl-certificate ldap amazon-elb

Author: Gotts, 2014-11-26

Source

3 answers

score 1 · Answer 1

Então, os LDAPS precisam de cert sobre o cliente?

Não, os LDAPS não necessitam de certificado de cliente. O certificado de controlador de domínio é suficiente para utilizar LDAPS. Mais detalhes sobre o requisito de LDAPS e certificado: LDAP sobre o certificado SSL (LDAPS)

Tentar definir uma senha dos utilizadores sobre o LDAP está a falhar devido a um erro de acesso negado

Pode haver mais de 9000 razões para receber esta mensagem. Você precisa verificar se você é autenticado com sucesso em DC, Em caso afirmativo, verifique se tem permissões e privilégios (especialmente se o UAC estiver activo). Eu configuraria Políticas de auditoria (em alterações de senha de usuário falhadas) e Verificaria o EventLog de segurança para descobrir o que está indo errado.

score 0 · Answer 2

Sim da corse o seu cliente precisa de um certificado para permitir a comunicação das ladps. ele e o de server.

De acordo com windowsitpro.com:

Como uma opção, você pode usar LDAPS para autenticação de clientes -- mas fazê-lo requer que você também instale um certificado de autenticação de cliente em cada um dos seus clientes."

score 0 · Answer 3

Não.

Para o openldap, consegui isto adicionando esta linha ao ldap.conf. Mas estejam cientes disso, quando fizerem isso, as vossas ligações estarão abertas a ataques como o homem no meio ou qualquer outro.

TLS_REQCERT never