Diritti di sicurezza minimi per preformare le query LDAP in Active Directory
-
05-07-2019 - |
Domanda
La nostra azienda sta cercando di implementare alcune applicazioni single sign-on utilizzando Active Directory (Windows Server 2003) e LDAP. Vorrei bloccare l'account utilizzato per effettuare il più possibile queste query LDAP. Qual è la migliore pratica per configurare questo tipo di account?
Soluzione
È possibile limitare / consentire ciò che un utente può o vedere / interrogare all'interno di AD utilizzando facilmente la procedura guidata di delega. È possibile accedere facilmente alla Delega guidata facendo clic con il pulsante destro del mouse su un'unità organizzativa e selezionando Controllo delegazione. Potresti anche dare un'occhiata a questi articoli:
Problemi di sicurezza predefiniti nella delega di Active Directory
Altri suggerimenti
Consulta Come configurare Active Directory per consentire query anonime per la minima sicurezza.
Per impostazione predefinita, l'implementazione di Microsoft LDAP non supporta Secure LDAP. Per configurare LDAP sicuro tramite SSL, i certificati devono essere installati sia sul server LDAP che sui client LDAP. In molti casi, il server LDAP è il controller di dominio che esegue Active Directory.
I certificati richiesti per eseguire LDAP sicuro tramite SSL possono essere configurati in diversi modi. Il concetto è sempre lo stesso:
- Il dominio di Active Directory il controller utilizza un certificato speciale rilasciato da un fidato autorità di certificazione.
- Il computer clent si fida di autorità di certificazione che emette il certificato per l'Active Controller di dominio di directory.