当社では、Active Directory (Windows Server 2003) と LDAP を使用して、いくつかのシングル サインオン アプリケーションを実装しようとしています。これらの LDAP クエリを作成するために使用されるアカウントを可能な限りロックダウンしたいと考えています。このタイプのアカウントを構成するためのベスト プラクティスは何ですか?
質問する
30111 次
2 に答える
4
委任ウィザードを簡単に使用して、ユーザーがAD内で表示/クエリできるものを制限/許可できます。OUを右クリックし、[委任コントロール]を選択すると、委任ウィザードに簡単にアクセスできます。あなたはこれらの記事を見たいと思うかもしれません:
ActiveDirectory委任におけるデフォルトのセキュリティ上の懸念
于 2009-05-05T14:46:45.283 に答える
0
最小限のセキュリティのために匿名クエリを許可するように Active Directory を構成する方法を参照してください。
デフォルトでは、Microsoft LDAP 実装は Secure LDAP をサポートしていません。SSL を使用してセキュア LDAP をセットアップするには、LDAP サーバーと LDAP クライアントの両方に証明書をインストールする必要があります。多くの場合、LDAP サーバーは Active Directory を実行するドメイン コントローラです。
SSL を使用してセキュア LDAP を実行するために必要な証明書は、いくつかの方法で構成できます。コンセプトは常に同じです。
- Active Directory ドメイン コントローラーは、信頼された証明機関によって発行された特別な証明書を使用します。
- クライアント コンピューターは、証明書を Active Directory ドメイン コントローラーに発行する証明機関を信頼します。
于 2009-05-05T03:28:11.217 に答える