Введение
Здесь вы найдете ответы на часто задаваемые вопросы о изменениях протокола LDAP.
Дополнительные сведения можно найти в ADV190023.
Содержимое
-
Каковы проблемы, которые вы хотите использовать для подписания LDAP?
-
Какие проблемы вы предтыны использовать для привязки канала LDAP?
-
Следует ли выдавать новые сертификаты для использования CBT через SSL/TLS?
-
Как клиенты используют протокол SSL/TLS CBT, мне нужно изменить эти приложения?
-
Означает ли это, что необходимо переместить все приложения LDAP в порт 636 и перейти на SSL/TLS?
Примечание. Эта статья будет регулярно обновляться с учетом дополнительных вопросов и ответов в ответ на отзывы пользователей.
Типичные вопросы
-
ADV190023 | Руководство Майкрософт по включению привязки канала LDAP и подписи LDAP
-
KB4520412 2020 для привязки канала LDAP и требования к подписи LDAP для Windows
-
KB935834 , как включить подписывание LDAP в Windows Server 2008
-
KB4563239 Параметры безопасности сеанса LDAP и требования после установки ADV190023
-
Blogs.TN: Определение открытого текста привязки LDAP к контроллеру домена(Опубликовано 13 января 2016 г.)
-
IETF: Привязка маркеров по протоколу HTTP
-
В этом документе описывается набор механизмов, позволяющих HTTP-серверам для криптографической привязки маркеров проверки подлинности (например, файлов cookie и маркеров OAuth) к соединениям SSL/TLS [RFC5246].
-
-
TechCommunity: Привязка к каналу LDAP и требования к подписываниям LDAP-обновление нового поведения в марте
-
В этом блоге описаны события аудита, зафиксированные на устройствах, не использующих подписанные привязки LDAP и маркеров привязки канала.
-
Клиенты LDAP, которые не включают и не поддерживают подписывание, не подключаются.
Простые привязки LDAP для подключений без TLS не работают, если требуется подписывание LDAP.
Клиенты LDAP, которые подключаются по протоколу SSL/TLS, но не предоставляют CBT, завершатся сбоем, если сервер требует CBT.
Соединения SSL/TLS, остановленные промежуточным сервером, который, в свою очередь, приводит к сбою нового подключения к контроллеру домена Active Directory.
Поддержка привязки каналов может быть менее распространенной для сторонних операционных систем и приложений, чем для подписей LDAP.
Нет.
Приложения Windows, разработанные на платформе .NET Framework, интерфейсах служб Active Directory (ADSI), или совершать вызовы LDAP в WLDAP32, которые обрабатывают подписывание LDAP и привязку каналов. Пожалуйста, свяжитесь с вашим эквивалентом в SDK для устройств, не использующих Windows, служб и приложений.
Нет. Если используется параметр SASL с подписью, LDAP является более безопасным по сравнению с портом 389.
Политики включены только на контроллерах домена.
Ссылки
Заявление об отказе от ответственности за сведения о продуктах сторонних производителей
В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и других, о производительности и надежности этих продуктов.
Мы предоставляем контактные данные третьих лиц, которые помогут вам найти техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Мы не будем гарантировать точность этой сторонней контактной информации.
