Bộ điều khiển miền (DC) sử dụng chứng chỉ để làm gì?


12

Mọi người đều nói về bộ điều khiển miền và rằng họ nên cài đặt chứng chỉ, nhưng vào cuối ngày thì không bắt buộc. Sau khi cài đặt, những gì thực sự sử dụng chứng chỉ đó? Hiểu biết của tôi là ít nhất là cần thiết cho:

  • Xác thực thẻ thông minh
  • LDAPS

Tuy nhiên, tôi đang tìm hiểu xem liệu có các hành động gốc cụ thể nào của DC hoặc Active Directory nơi bộ điều khiển miền sử dụng chứng chỉ không?

Tôi nhận thức được ý nghĩa bảo mật / thực hành tốt ở đây :) Tôi chỉ quan tâm đến các cơ chế trong chơi.

Câu trả lời:


14

Việc sao chép giữa các bộ điều khiển miền vẫn sẽ diễn ra trên RPC, ngay cả sau khi cài đặt chứng chỉ SSL. Tải trọng được mã hóa, nhưng không phải với SSL.

Nếu bạn sử dụng bản sao SMTP, bản sao đó có thể được mã hóa bằng chứng chỉ SSL của bộ điều khiển miền ... nhưng tôi hy vọng không ai sử dụng bản sao SMTP trong năm 2017.

LDAPS giống như LDAP, nhưng qua SSL / TLS, sử dụng chứng chỉ của bộ điều khiển miền. Nhưng các thành viên miền Windows bình thường sẽ không tự động bắt đầu sử dụng LDAPS cho những thứ như DC Locator hoặc miền tham gia. Họ vẫn sẽ chỉ sử dụng cLDAP và LDAP đơn giản.

Một trong những cách chính mà chúng tôi sử dụng LDAPS là dành cho các dịch vụ của bên thứ 3 hoặc các hệ thống không tham gia miền cần một cách an toàn để truy vấn bộ điều khiển miền. Với LDAPS, các hệ thống đó vẫn có thể hưởng lợi từ truyền thông được mã hóa ngay cả khi chúng không được tham gia vào miền. (Hãy nghĩ các bộ tập trung VPN, bộ định tuyến Wifi, hệ thống Linux, v.v.)

Nhưng các máy khách Windows đã tham gia miền đã có chữ ký và niêm phong SASL và Kerberos, đã được mã hóa và khá an toàn. Vì vậy, họ sẽ tiếp tục sử dụng nó.

Các máy khách thẻ thông minh sử dụng chứng chỉ SSL của bộ điều khiển miền khi Xác thực KDC nghiêm ngặt được bật. Đây chỉ là một biện pháp bảo vệ bổ sung cho các khách hàng sử dụng thẻ thông minh để có thể xác minh rằng KDC mà họ đang nói chuyện là hợp pháp.

Bộ kiểm soát miền cũng có thể sử dụng chứng chỉ của họ để liên lạc IPsec, với chính họ hoặc với các máy chủ thành viên.

Đó là tất cả những gì tôi có thể nghĩ ra ngay bây giờ.


Cảm ơn Ryan, đó là thông tin tốt và đồng tình với rất nhiều những gì tôi đã đọc. Tôi đặc biệt quan tâm đến bit DC Replication mà bạn đã trả lời. Câu trả lời tuyệt vời :)
Ben Short

Có phải "RADIUS với các tùy chọn giao thức hiện đại", ví dụ như đối với xác thực không dây của công ty, về chủ đề cho câu hỏi này? Đây là một vai trò thường được thêm vào bộ điều khiển miền, nhưng có thể không phải là chức năng cốt lõi ... Đây là một ví dụ thú vị bởi vì chứng chỉ phù hợp thực sự MATTER trong ứng dụng đó ...
rackandboneman

@rackandboneman Vâng, và đó là ý tưởng tương tự mà tôi đã nghĩ đến bằng cách đề cập đến việc sử dụng chứng chỉ SSL của các bộ tập trung / thiết bị VPN.
Ryan Ries
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.