LDAP over SSL是否需要客户端上的证书?

时间:2014-11-26 13:47:45

标签: ldap ssl-certificate amazon-elb

我正在尝试解决一个问题,即尝试通过LDAP设置用户密码失败,因为访问被拒绝错误 - 即使我正在使用管理员用户对AD进行身份验证。

在stackoverflow中找到的答案说,要么我必须以管理员用户身份运行IIS用户(这确实有用),要么我应该通过SSL连接到LDAP。 我不能使用第一个选项,因为我正在使用Elastic Beanstalk,它将创建和终止实例,因此我无法更改/设置IIS将运行的用户。所以我试图使用LDAP over SSL的想法。 我的问题是,仍然需要客户端本身也安装了证书才能与域控制器建立信任吗?或者这只是通过在域控制器上安装证书并允许通过SSL连接? 如果它需要客户端上的证书,那么我遇到同样的问题,因为我无法在部署的应用程序之外的客户端服务器上安装任何东西,因为Beanstalk将随意接收并终止该实例。

LDAPS是否需要客户端上的证书? 鉴于我正在使用的基础设施,有没有更好的方法来解决我的问题?

4 个答案:

答案 0 :(得分:1)

  

LDAPS也需要客户端上的证书吗?

不,LDAPS不需要客户端证书。域控制器证书足以使用LDAPS。有关LDAPS和证书要求的更多详细信息:LDAP over SSL (LDAPS) Certificate

  

尝试通过LDAP设置用户密码因访问被拒绝错误而失败

您收到此邮件可能有超过9000个原因。您需要检查是否在DC上成功通过身份验证,如果是,请检查您是否具有权限和特权(特别是,如果启用了UAC)。我会设置审核策略(关于用户密码更改失败)并检查安全事件日志以找出问题所在。

答案 1 :(得分:0)

没有。

对于openldap,我通过将此行添加到ldap.conf来实现此目的。但要注意这一点,当你这样做时,你的联系就会受到像中间人或其他任何攻击一样的攻击。<​​/ p>

TLS_REQCERT never

答案 2 :(得分:0)

这是我使用反复试验方法发现的结果: 实际上,LDAPS服务器总是询问来获取客户端证书。您可以通过打开SCHANNEL日志并观察以下消息来验证这一点:

enter image description here

如果没有客户端身份验证证书,则LDAPS连接仍然成功,即确实没有所需的客户端身份验证。但是,如果您有一些无效的客户端身份验证证书(在我的情况下是第三方应用程序很早以前安装的过期证书),则该连接将失败,并且客户端的SCHANNEL日志中将不会出现任何错误或警告。我花了一段时间才弄清楚这一点。

答案 3 :(得分:-1)

是的corse你的客户需要一个证书,以允许ladps沟通 他和服务器。

根据 windowsitpro.com

  

作为一种选择,您可以使用LDAPS进行客户端身份验证 - 但这样做还要求您还要在每个客户端上安装客户端身份验证证书。&#34;