如何在 Windows Server 2008 中啟用 LDAP 登入

文章編號: 935834 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

快速發行


快速發行文章的目的在於提供資訊以因應緊急或獨特的主題,同時也會隨著新資訊的取得而不時更新。
回此頁最上方 | 提供意見

簡介

目錄伺服器的安全性可藉由以下措施來獲得大幅度的提升:設定伺服器以拒絕未要求登入的簡單驗證及安全性階層 (SASL) LDAP 繫結 (完整性驗證),以及執行於純文字 (未經 SSL/TLS 加密) 連線上的 LDAP 簡單繫結。SASL 能包含如 Negotiate、Kerberos、NTLM 或 Digest 等通訊協定。

未簽署的網路流量容易遭受重送攻擊所影響,在受到攻擊時,入侵者能攔截驗證嘗試和票證發行。入侵者能重複使用票證來模擬合法使用者。此外,未簽署的網路流量亦容易受到攔截式攻擊的影響,在受到攻擊時,入侵者會擷取用戶端和伺服器之間的封包、修改封包,並將封包轉送到伺服器。當 LDAP 伺服器上發生這種情形時,攻擊者能使伺服器根據 LDAP 用戶端傳來的偽造要求做出決策。

本文章說明如何設定目錄伺服器來抵禦這類型的攻擊。
回此頁最上方 | 提供意見

其他相關資訊

探索未使用要求簽章選項的用戶端


仰賴未簽署之 SASL (Negotiate、Kerberos、NTLM 或 Digest) LDAP 繫結或未經 SSL/TLS 連線之 LDAP 簡單繫結的用戶端,會在您做出這項設定變更後停止運作。為了要協助識別這些用戶端,目錄伺服器會每隔 24 小時記錄一次摘要事件 2887,以指出這類繫結的發生次數。我們建議您避免將這些用戶端設定為使用這類繫結。在一段時間後若未再發現這類型的事件,我們建議您設定伺服器以拒絕這類繫結。

如果您需要更詳細的資訊才能識別這類用戶端,可設定目錄伺服器以使其提供更詳細的記錄。當用戶端嘗試進行未簽署的 LDAP 繫結時,這項額外的記錄功能會記錄事件 2889。記錄會顯示用戶端的 IP 位址和用戶端嘗試用來進行驗證的身分識別。您可以將 [LDAP 介面事件] 診斷設定設為 2 (基本) 來啟用這項額外的記錄功能。如需如何變更診斷設定的詳細資訊,請造訪下列 Microsoft 網站:
http://technet.microsoft.com/zh-tw/library/cc961809.aspx
(http://technet.microsoft.com/zh-tw/library/cc961809.aspx)


如果已將目錄伺服器設定為拒絕未簽署的 SASL LDAP 繫結或經由非 SSL/TLS 連線的 LDAP 簡單繫結,當這類型的繫結嘗試發生時,目錄伺服器會每隔 24 小時記錄一次摘要事件 2888。

將目錄設定為需要 LDAP 伺服器簽章

使用群組原則

設定伺服器 LDAP 簽章要求
  1. 按一下 [開始],按一下 [執行],輸入 mmc.exe,然後按一下 [確定]
  2. 按一下 [檔案] 功能表上的 [新增/移除嵌入式管理單元]
  3. 依序按一下 [新增或移除嵌入式管理單元] 對話方塊中的 [群組原則管理編輯器][新增]
  4. 按一下 [選取群組原則物件] 對話方塊中的 [瀏覽]
  5. [瀏覽群組原則物件] 對話方塊中,按一下 [網域、組織單位 (OU)、以及連結的群組原則物件] 區域下的 [預設網域原則],然後再按一下 [確定]
  6. 按一下 [完成]
  7. 按一下 [確定]
  8. 依序展開 [預設網域控制站原則][電腦設定][原則][Windows 設定][安全性設定][本機原則],然後再按一下 [安全性選項]
  9. 以滑鼠右鍵按一下 [網域控制站:LDAP 伺服器簽章要求],然後再按一下 [屬性]
  10. [網域控制站:LDAP 伺服器簽章要求屬性] 對話方塊中啟用 [定義這個原則設定],按一下以選取 [定義這個原則設定] 下拉式清單中的 [要求簽章],然後再按一下 [確定]
  11. 按一下 [確認設定變更] 對話方塊中的 [是]
透過本機電腦原則設定用戶端 LDAP 簽章需求
  1. 按一下 [開始],按一下 [執行],輸入 mmc.exe,然後按一下 [確定]
  2. 按一下 [檔案] 功能表上的 [新增/移除嵌入式管理單元]
  3. 依序按一下 [新增或移除嵌入式管理單元] 對話方塊中的 [群組原則物件編輯器][新增]
  4. 按一下 [完成]
  5. 按一下 [確定]
  6. 依序展開 [本機電腦原則][電腦設定][原則][Windows 設定][安全性設定][本機原則],然後再按一下 [安全性選項]
  7. 以滑鼠右鍵按一下 [網路安全性:LDAP 用戶端簽章要求],然後再按一下 [屬性]
  8. [網路安全性:LDAP 用戶端簽章要求屬性] 對話方塊中,按一下以選取下拉式清單中的 [要求簽章] ,然後再按一下 [確定]
  9. 按一下 [確認設定變更] 對話方塊中的 [是]
透過網域群組原則設定用戶端 LDAP 簽章需求
  1. 按一下 [開始],按一下 [執行],輸入 mmc.exe,然後按一下 [確定]
  2. 按一下 [檔案] 功能表上的 [新增/移除嵌入式管理單元]
  3. 依序按一下 [新增或移除嵌入式管理單元] 對話方塊中的 [群組原則物件編輯器][新增]
  4. 按一下 [瀏覽...] 並選取 [預設網域原則] (亦或是要啟用用戶端 LDAP 簽章的群組原則)。
  5. 按一下 [確定]
  6. 按一下 [完成]
  7. 按一下 [關閉]
  8. 按一下 [確定]
  9. 依序展開 [預設網域原則][電腦設定][Windows 設定][安全性設定][本機原則],然後再按一下 [安全性選項]
  10. [網路安全性:LDAP 用戶端簽章要求屬性] 對話方塊中,按一下以選取下拉式清單中的 [要求簽章],然後再按一下 [確定]
  11. 按一下 [確認設定變更] 對話方塊中的 [是]


如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
823659
(http://support.microsoft.com/kb/823659/zh-tw/ )
當您修改安全性設定和使用者權限指派時,可能會發生用戶端、服務和程式不相容的情形

使用登錄機碼

如果要我們為您變更登錄機碼,請前往<為我修正此問題>一節。如果您要自行變更登錄機碼,請前往<讓我自行修正此問題>一節。

為我修正此問題



如果要自動修正此問題,請按一下 [Fix it] 按鈕或連結。按一下 [檔案下載] 對話方塊中的 [執行],並依照 Fix it 精靈中的步驟執行。


修正此問題
Microsoft Fix it 50518


注意事項
  • 此精靈可能只提供英文版本。不過,自動修正程式也適用於 Windows 的其他語言版本。
  • 如果您不是正在使用發生問題的電腦,則可將 Fix it 解決方案儲存至快閃磁碟機或 CD,然後在發生問題的電腦上加以執行。

然後請前往<這樣是否已修正問題?>一節。



讓我自行修正此問題

重要 這個章節、方法或工作包含修改登錄的步驟。然而,如果您不當地修改登錄,可能會發生嚴重的問題。因此,請務必謹慎地依照這些步驟執行。為加強保護,修改登錄之前,請務必將其備份。那麼您便可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756
(http://support.microsoft.com/kb/322756/zh-tw/ )
如何在 Windows 中備份及還原登錄
  1. 按一下 [開始],按一下 [執行],輸入 regedit,然後按一下 [確定]
  2. 找出下列登錄子機碼並按一下:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. 以滑鼠右鍵按一下 [LDAPServerIntegrity] 登錄項目,然後再按一下 [修改]
  4. [數值資料] 變更為 2,然後再按一下 [確定]
  5. 找出下列登錄子機碼並按一下:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ldap\Parameters
  6. 以滑鼠右鍵按一下 [ldapclientintegrity] 登錄項目,然後再按一下 [修改]
  7. [數值資料] 變更為 2,然後再按一下 [確定]

由於在 Active Directory Lightweight Directory Services (AD LDS) 中,此登錄機碼預設為無法使用。因此,您必須在以下登錄子機碼下建立 REG_DWORD 類型的 LDAPServerIntegrity 登錄項目:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\instanceName\Parameters
注意InstanceName 是要變更之 AD LDS 執行個體的名稱。
驗證設定變更
  1. 按一下 [開始],再按一下 [執行],輸入 ldp.exe,然後按一下 [確定]
  2. 按一下 [連線] 功能表下的 [連線]
  3. 分別在 [伺服器][連接埠] 欄位中輸入目錄伺服器的伺服器名稱和非 SSL/TLS 連接埠,然後再選取 [確定]
    注意 對於 Active Directory 網域控制站,適用的連接埠為 389。
  4. 建立連線後,請選取 [連線] 功能表下的 [繫結]
  5. 選取 [繫結類型] 下的 [簡單繫結]
  6. 輸入使用者名稱和密碼,然後再按一下 [確定]

如果您收到下列錯誤訊息,表示已成功設定目錄伺服器:
Ldap_simple_bind_s() 失敗:需要增強式驗證

這樣是否已修正問題?

  • 檢查問題是否已修正。如果問題已修正,您便已完成本節。如果問題尚未修正,則可連絡技術支援
    (http://support.microsoft.com/contactus)
  • 我們非常感謝您提供意見反應。如果要提供意見反應,或報告此解決方案的任何問題,請在「為我修正此問題
    (http://blogs.technet.com/fixit4me/)
    」部落格 中留下您的意見,或者傳送電子郵件
    (mailto:fixit4me@microsoft.com?Subject=KB)
    給我們。
回此頁最上方 | 提供意見

免責聲明


MICROSOFT 和/或其個別供應商未對文件所含之資訊和發表於本網站中的相關圖形表達適用於任何用途之意。文件和發表於本網站中的相關圖形可能含有技術誤差或拼字錯誤。我們會定期變更此處的資訊。MICROSOFT 和/或其個別供應商會隨時改良及/或變更此處說明的產品和/或程式。

如需使用規定的詳細資訊,請按下列連結:
http://support.microsoft.com/tou/
(http://support.microsoft.com/tou/)
回此頁最上方 | 提供意見

屬性

文章編號: 935834 - 上次校閱: 2011年5月18日 - 版次: 3.0
這篇文章中的資訊適用於:
關鍵字:?
kbrapidpub kbhowto kbexpertiseinter kbsurveynew kbinfo kbfixme kbmsifixme KB935834
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
回此頁最上方 | 提供意見

提供意見

 
回此頁最上方回此頁最上方