Perguntas frequentes sobre alterações ao Protocolo de Acesso a Diretório Leve

• ADV190023 / Orientação da Microsoft para permitir a ligação do canal LDAP e a assinatura de LDAP

• KB4520412 2020 Ligação do canal LDAP e requisito de assinatura LDAP para Windows

• KB935834 Como permitir a assinatura do LDAP no Windows Server 2008

• KB4563239 Definições e requisitos de segurança da sessão LDAP após a instalação do ADV190023

• Blogs.TN: Identificar texto claro LDAP liga-se ao seu DC's(Publicado a 13 de janeiro de 2016)

• IETF: Ligação token sobre HTTP

  • Este documento descreve uma coleção de mecanismos que permitem aos servidores HTTP ligarem criptograficamente fichas de autenticação (como cookies e fichas OAuth) a ligações SSL/TLS [RFC5246].

• TechCommunity: LDAP Channel Binding e LDAP Signing Requirements - março atualizar novo comportamento

  • Este blog descreve eventos de auditoria registados por dispositivos que não utilizam ligações LDAP assinadas ou fichas de ligação de canais.

Os Clientes LDAP que não ativam ou suportam a assinatura não se ligam.

Os ligações simples LDAP sobre ligações não-TLS não funcionarão se for necessária a assinatura LDAP.

Os clientes LDAP que se conectam sobre SSL/TLS, mas que não fornecem CBT, falharão se o servidor necessitar de CBT.

As ligações SSL/TLS que são terminadas por um servidor intermédio que, por sua vez, emite uma nova ligação a um Controlador de Domínio de Diretório Ativo, falharão.

Suporte para a ligação de canais talvez menos comum em sistemas operativos e aplicações de terceiros do que para a assinatura LDAP.

Não.

Aplicações windows que são construídas em .NET Framework, Ative Directory Service Interfaces (ADSI), ou fazer chamadas LDAP para o WLDAP32 que lida com a assinatura LDAP e a ligação de canais para si. Entre em contato com o seu equivalente SDK para dispositivos não-windows O/S, serviço e aplicações.

Não. Quando o SASL com a assinatura é utilizado, o LDAP é mais seguro sobre a porta 389.

As políticas só são ativadas em CDS.