LdapConnection对ActiveDirectory中的autenticate用户是否安全？

Question

我已经构建了这个函数来验证是否在ActiveDirectory中启用了用户。

LdapConnection传输的数据是否已加密？

这是使用user和password传输信息的安全解决方案吗？

try
{
    LdapConnection connection = new LdapConnection(server);

    NetworkCredential credential = new NetworkCredential(user, password);
    connection.Credential = credential;

    connection.Bind();
}
catch (LdapException lexc)
{
   return lexc.Message;
}
catch (Exception exc)
{
   return exc.Message;
}

Answer 1

默认情况下不是。

Active Directory可在多个端口上运行，这些端口执行相关功能：

1. 389：LDAP（仅限单个域） - 这是默认的
2. 636：LDAP over SSL
3. 3268：全球目录（您的AD森林）
4. 3269：SSL上的全局目录

其他信息： https://msdn.microsoft.com/en-us/library/cc875824.aspx

因此，要使其使用加密连接，您需要告诉它使用端口636或3269，然后告诉它使用SSL，如下所示：

LdapConnection connection = new LdapConnection($"{server}:636");
connection.SessionOptions.SecureSocketLayer=true;

警告：根据我的经验，您可能会在进行此连接时遇到问题，因为默认情况下，域控制器使用自签名证书进行加密，而客户端计算机可能不信任该证书。如果遇到该问题，可以在计算机上安装该证书以使其受信任。

但请记住，证书有两个目的：

1. 加密传输中的数据，
2. 确保与您通话的服务器实际上是您要与之通话的服务器

1将始终与任何证书（甚至自签名）一起发生。 ＃2是如果证书是由不受信任的来源发出连接失败的原因。

如果您确信您不需要证书用于＃2，那么您可以告诉它忽略与不受信任的证书相关的错误，如下所示：

connection.SessionOptions.VerifyServerCertificate =
            new VerifyServerCertificateCallback((con, cer) => true);