Запитання й відповіді про зміни, внесені до протоколу легкого доступу до служби каталогів

• ADV190023 | Керівництво Microsoft для ввімкнення обов'язкового каналу LDAP та підписання LDAP

• KB4520412 Прив'язування каналу LDAP KB4520412 2020 і вимога підписання LDAP для Windows

• KB935834 УВІМКНЕННЯ входу в LDAP в ос Windows Server 2008

• KB4563239 Параметри безпеки сеансу LDAP після інсталяції ADV190023

• Blogs.TN: визначення чітких текстових LDAP зв'язується зі своїм DC(опубліковано 13 січня 2016)

• IETF: обов'язковий код для http

  • У цьому документі описується колекція механізмів, які дають змогу HTTP-серверами криптографічно зв'язувати маркери автентифікації (наприклад, файли cookie та OAuth) до SSL/TLS [RFC5246].

• Techcommunity: зв'язування каналу LDAP та вимоги до підпису LDAP – оновлення за березень нова поведінка

  • Цей блоґ описує події аудиту, які записуються на пристрої, які не використовують підписані прив'язки LDAP або маркери зв'язування каналів.

Клієнти LDAP, які не дають змогу або не підтримують вхід, не з'єднуються.

Якщо потрібно, щоб під час підписання LDAP не працювала зв'язок із протоколом TLS, просто не працює.

Клієнти LDAP, які підключаються через протокол SSL або TLS, але не надають "ТОС", не вдасться, якщо сервер вимагає ТОС.

Підключення за допомогою протоколу SSL або TLS, які припиняється проміжним сервером, у результаті чого виникають проблеми нового підключення до контролера домену Active Directory, не вдасться.

Підтримка зв'язування каналів може бути меншою, ніж для сторонніх операційних систем і програм, ніж для підписання LDAP.

Ні.

Програми Windows, вбудовані в .NET Framework, інтерфейси служб Active Directory (ADSI), або роблять виклики LDAP в WLDAP32, які обробляє вхід LDAP і зв'язування каналів для вас. Зверніться до свого еквіваленту SDK для пристроїв, які не використовують Windows, і служби, і програм.

Ні. Якщо використовується SASL із підписуванням, LDAP безпечніший через порт 389.

Політики ввімкнуто лише в "ЦСК".