Наша компания пытается реализовать несколько приложений для входа в систему, используя Active Directory (Windows Server 2003) и LDAP. Я хотел бы заблокировать учетную запись, используемую для выполнения этих запросов LDAP в максимально возможной степени. Какова наилучшая практика для настройки этого типа учетной записи?Минимальные права безопасности на префикс LDAP-запросов в Active Directory
Вы можете ограничить/разрешить то, что пользователь может видеть или запрашивать в AD, легко используя мастер делегирования. Вы можете легко получить доступ к Мастере делегирования, щелкнув правой кнопкой мыши на подразделении и выбрав «Управление делегированием». Вы ALS можете взглянуть на эти статьи:
Default security concerns in Active Directory delegation
Best practices for delegating Active Directory administration: Case study: a delegation scenario
Для обеспечения минимальной безопасности см. How to configure Active Directory to allow anonymous queries.
По умолчанию реализация Microsoft LDAP не поддерживает Secure LDAP. Чтобы настроить безопасный LDAP с использованием SSL, сертификаты должны быть установлены как на LDAP-сервере, так и на LDAP-клиентах. Во многих случаях LDAP-сервер является контроллером домена, работающим с Active Directory.
Сертификаты, необходимые для безопасного использования протокола LDAP с использованием SSL, могут быть настроены несколькими способами. Концепция всегда одинакова:
Анонимные запросы не нужны (и менее безопасно), так как OP явно настройка «привязки» пользователь. Связь со всей статьей может дать читателю впечатление, что они должны следовать всем инструкциям. Лучше процитировать разделы, которые имеют отношение к конкретной потребности OP (и будущего посетителя). Если вы хотите привести источник, пожалуйста, четко укажите, что это не рекомендуемая стратегия. – claytond