Úvod
Odpovědi na časté otázky týkající se změn protokolu LDAP (Lightweight Directory Access Protocol)
Další informace najdete na ADV190023.
Cukernatost
-
Jaké problémy chcete předvídat při vynucování podepisování LDAP?
-
Jaké problémy chcete předpokládat při vynucování vazeb kanálu LDAP?
-
Je nutné vystavit nové certifikáty pro použití CBT přes SSL/TLS?
-
Jak klienti používají protokol SSL/TLS CBT, musím měnit aplikace?
-
Znamená to, že je nutné přesunout všechny aplikace LDAP na port 636 a přejít na protokol SSL/TLS?
Poznámka Tento článek se pravidelně aktualizuje o další otázky a odpovědi v reakci na názory zákazníků.
Časté dotazy
-
ADV190023 | Návod na služby Microsoftu pro povolení vazeb protokolu LDAP a podepisování protokolu LDAP
-
KB4520412 2020 kanálu LDAP a požadavek na podepisování protokolu LDAP pro Windows
-
KB935834 povolení podepisování protokolu LDAP v systému Windows Server 2008
-
KB4563239 Nastavení zabezpečení relace protokolu LDAP a požadavky po instalaci ADV190023
-
Blogs.TN: Identifikace nejasných textových vazeb LDAP na váš řadič domény(Publikováno 13. ledna 2016)
-
IETF: vázání TOKENŮ přes protokol HTTP
-
Tento dokument popisuje kolekci mechanismů, které umožňují serverům HTTP kryptograficky svázat ověřovací tokeny (například soubory cookie a tokeny OAuth) s připojením SSL/TLS [RFC5246].
-
-
TechCommunity: požadavky na vazbu kanálu a podepisování protokolu LDAP – březen aktualizuje nové chování .
-
Tento blog popisuje události auditování zapisované zařízeními, která nepoužívají přihlášené vazby LDAP nebo tokeny vazeb kanálu.
-
Klienti LDAP, kteří nepovolují nebo podporují podepisování, se nepřipojí.
Jednoduchá vazba protokolu LDAP přes jiná připojení než TLS nebude fungovat, pokud je vyžadováno podepisování LDAP.
Klienti LDAP, kteří se připojují přes SSL/TLS, ale nezadají CBT, selžou, pokud server vyžaduje CBT.
Připojení SSL/TLS ukončená zprostředkujícím serverem, která zase vystaví nové připojení k řadiči domény služby Active Directory, se nezdaří.
Podpora vazeb mezi kanály je možná méně obvyklá v operačních systémech a aplikacích třetích stran, než je podepisování LDAP.
Ne.
Aplikace systému Windows, které jsou postaveny na rozhraní .NET Framework, rozhraní ADSI (Active Directory Service Interfaces) nebo umožňují volání LDAP na WLDAP32, které zpracovávají podepisování a kanál protokolu LDAP za vás. Obraťte se na ekvivalentní sadu SDK pro zařízení, která nepatří do systému Windows, S, službou a aplikacemi.
Ne. Při SASL se podepisováním je protokol LDAP bezpečnější než port 389.
Zásady jsou povolené jenom na řadičích domény.
Odkazy
Informace třetích stran – právní omezení
Produkty jiných poskytovatelů, o kterých se hovoří v tomto článku, jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Neposkytujeme ani jinak žádné záruky na výkon nebo spolehlivost těchto produktů.
Poskytnutí kontaktních informací třetích stran vám pomůže najít technickou podporu. Tyto informace se mohou změnit bez předchozího upozornění. Nezaručujeme přesnost těchto kontaktních informací.
