SSL上的LDAP是否需要客户端上的证书?
我试图解决一个问题,即由于访问被拒绝错误,试图通过LDAP设置用户密码失败,即使我正在使用管理员用户对AD进行身份验证 stackoverflow中的一个答案是,要么我必须以管理员用户的身份运行IIS用户(这确实有效),要么我应该通过SSL连接到LDAP。 我不能选择第一个选项,因为我正在使用Elastic Beanstalk,它将创建和终止实例,因此我无法更改/设置IIS将作为的用户运行。因此,我尝试使用LDAP over SSL的想法。 我的问题是,为了与域控制器建立信任,是否还需要客户端本身安装证书?或者,仅仅通过在域控制器上安装证书并允许通过SSL进行连接就可以做到这一点吗? 如果它需要客户端上的证书,那么我会遇到同样的问题,因为除了部署的应用程序之外,我无法在客户端服务器上安装任何东西,因为Beanstalk将随意重新创建并终止该实例 那么LDAP是否需要客户端上的证书? 考虑到我使用的基础设施,有没有更好的方法来解决我的问题 那么LDAP是否需要客户端上的证书 否,LDAP不需要客户端证书。域控制器证书足以利用LDAP。有关LDAP和证书要求的更多详细信息: 由于访问被拒绝错误,尝试通过LDAP设置用户密码失败SSL上的LDAP是否需要客户端上的证书?,ldap,ssl-certificate,amazon-elb,Ldap,Ssl Certificate,Amazon Elb,我试图解决一个问题,即由于访问被拒绝错误,试图通过LDAP设置用户密码失败,即使我正在使用管理员用户对AD进行身份验证 stackoverflow中的一个答案是,要么我必须以管理员用户的身份运行IIS用户(这确实有效),要么我应该通过SSL连接到LDAP。 我不能选择第一个选项,因为我正在使用Elastic Beanstalk,它将创建和终止实例,因此我无法更改/设置IIS将作为的用户运行。因此,我尝试使用LDAP over SSL的想法。 我的问题是,为了与域控制器建立信任,是否还需要客户端本
您收到此消息的原因可能超过9000个。您需要检查您是否在DC上成功进行了身份验证,如果是,请检查您是否具有权限和特权(特别是,如果启用了UAC)。我会设置审核策略(针对失败的用户密码更改)并检查安全事件日志以找出问题所在。是的,因为您的客户端需要一个证书来允许ladps与 他和德服务器 据 : 作为一个选项,您可以使用LDAPS进行客户端身份验证,但这样做还需要在每个客户端上安装客户端身份验证证书。” 没有 对于openldap,我通过将这一行添加到ldap.conf中实现了这一点。但请注意,当您这样做时,您的连接将受到中间人或任何其他攻击
TLS_REQCERT never
这是我使用试错法发现的: 实际上,LDAPS服务器总是要求客户端证书。您可以通过打开SCHANNEL日志并观察以下消息来验证这一点:
如果没有客户端身份验证证书,则LDAPS连接仍然成功,即确实不需要客户端身份验证证书。但是如果您有一些无效的客户端身份验证证书(在我的情况下,它是由第三方应用程序很久以前安装的过期证书)连接将失败,但客户端的SCHANNEL日志中没有任何错误或警告。我花了一段时间才弄清楚这一点。好的,谢谢您的澄清。我将尝试使证书正常工作。我正在使用自签名,并且遇到问题。然后将对其进行测试。我非常确定我遇到的错误是由于上述bec因为当我以域管理员用户的身份运行IIS时,它工作得很好顺便问一下,即使在域控制器上使用自签名证书,您仍然不需要客户端上的证书吗?如果您有内部CA,我建议使用CA颁发LDAPS证书。是的,LDAPS不使用客户端证书。我在自动安装证书并启用LDAPS的e域控制器。使用LDP验证该功能是否正常。然后我尝试从其他服务器连接到AD,但失败。仅在我在客户端的受信任发布服务器存储中安装证书后才正常工作。因此,我再次被卡住。是否有方法确认LDAPS,它不需要客户端证书?作为一个选项。它不是必需的。这是一个措辞拙劣的句子。他试图说的是,您可以配置AD以请求客户端证书,这将足以验证客户端,而无需进一步的凭据。不。您可以提供各种形式的凭据:客户端证书只是其中之一,请欣赏这里的问答。我担心必须为客户端证书设置自动注册等。问题是,只有DC需要注册证书并信任根CA,从那时起,只要身份验证成功,LDAP就受支持。