Вступ
Відповіді на поширені запитання про зміни в протоколі легкого доступу до каталогів (LDAP).
Щоб дізнатися більше, перейдіть до ADV190023.
Вміст
-
Які проблеми ви передбасуєте з використанням функції "вхід у LDAP"?
-
Які проблеми ви передбачаю з використанням обов'язкового каналу LDAP?
-
Чи мають бути видані нові сертифікати для використання протоколу ТОС через протокол SSL або TLS?
-
Як клієнти використовують протокол SSL/TLS ТОС, чи потрібно змінювати програми?
-
Чи означає це, що ми повинні перенести всі програми LDAP в порт 636 і перейти до протоколу SSL/TLS?
Примітка. Ця стаття буде регулярно оновлюватися за допомогою додаткових запитань і відповідей у відповідь на Відгуки клієнтів.
Запитання й відповіді
-
ADV190023 | Керівництво Microsoft для ввімкнення обов'язкового каналу LDAP та підписання LDAP
-
KB4520412 Прив'язування каналу LDAP KB4520412 2020 і вимога підписання LDAP для Windows
-
KB935834 УВІМКНЕННЯ входу в LDAP в ос Windows Server 2008
-
KB4563239 Параметри безпеки сеансу LDAP після інсталяції ADV190023
-
Blogs.TN: визначення чітких текстових LDAP зв'язується зі своїм DC(опубліковано 13 січня 2016)
-
IETF: обов'язковий код для http
-
У цьому документі описується колекція механізмів, які дають змогу HTTP-серверами криптографічно зв'язувати маркери автентифікації (наприклад, файли cookie та OAuth) до SSL/TLS [RFC5246].
-
-
Techcommunity: зв'язування каналу LDAP та вимоги до підпису LDAP – оновлення за березень нова поведінка
-
Цей блоґ описує події аудиту, які записуються на пристрої, які не використовують підписані прив'язки LDAP або маркери зв'язування каналів.
-
Клієнти LDAP, які не дають змогу або не підтримують вхід, не з'єднуються.
Якщо потрібно, щоб під час підписання LDAP не працювала зв'язок із протоколом TLS, просто не працює.
Клієнти LDAP, які підключаються через протокол SSL або TLS, але не надають "ТОС", не вдасться, якщо сервер вимагає ТОС.
Підключення за допомогою протоколу SSL або TLS, які припиняється проміжним сервером, у результаті чого виникають проблеми нового підключення до контролера домену Active Directory, не вдасться.
Підтримка зв'язування каналів може бути меншою, ніж для сторонніх операційних систем і програм, ніж для підписання LDAP.
Ні.
Програми Windows, вбудовані в .NET Framework, інтерфейси служб Active Directory (ADSI), або роблять виклики LDAP в WLDAP32, які обробляє вхід LDAP і зв'язування каналів для вас. Зверніться до свого еквіваленту SDK для пристроїв, які не використовують Windows, і служби, і програм.
Ні. Якщо використовується SASL із підписуванням, LDAP безпечніший через порт 389.
Політики ввімкнуто лише в "ЦСК".
Посилання
Застереження про інформацію від третіх осіб
Продукти, про які йдеться в цій статті, виготовлено сторонніми виробниками, що не залежать від корпорації Майкрософт. Ми не даємо жодних гарантій, неявних або інших, про продуктивність або надійність цих продуктів.
Ми надаємо контактну інформацію сторонніх постачальників, щоб допомогти вам отримати технічну підтримку. Ця Контактна інформація може змінюватися без попереднього повідомлення. Ми не гарантуємо точність цієї контактної інформації третіх осіб.