Windows LDAP加固之LDAP over SSL和通道綁定

不少網絡通訊均可以用SSL來加密的，LDAP也不列外，一樣能夠用SSL加密。

LDAPS使用的證書必須知足如下幾個條件：

1.證書的加強性密鑰用法中必須有服務器身份驗證Server Authentication
2.證書的名稱或者SAN名稱中的第一個是域控的FQDN
3.服務器端有證書的私鑰
4.證書被客戶端信任
若是看不到圖，請點我。

從客戶端上測試一下基於LDAPS的Simple Binding，結果也是能夠正常鏈接的。


注意，因爲加入域的客戶端會自動添加域後綴，因此對於非域客戶端測試，請使用FQDN鏈接。能夠看到以前的幾回嘗試鏈接失敗，返回錯誤81。有的是由於沒有使用FQDN，有的是由於沒有將域控使用證書的根證添加到本地服務器的受信任根證書列表中。域中的客戶端會自動將企業根證書加到本地的受信任根證書列表中，這一點能夠不用擔憂。

有了SSL鏈接以後，另外一個能夠進一步增強安全性的就是通道綁定Channel Binding Token。通道綁定是指服務器端會檢測客戶端提供身份驗證信息的通道，若是被檢測到客戶端是經過不一樣的通道提交驗證信息，服務器會認爲遭受到了憑據重放的公雞（不是我寫錯了，是51CTO不容許），將此次認證視爲無效的。更多信息能夠參考RFC 5929

須要在服務器上添加註冊表鍵值來啓用。在如下位置HKLM\System\CurrentControlSet\Services\NTDS\Parameters添加REGDWORD 值LdapEnforceChannelBinding

0表明不要求通道綁定CBT
1表明若是客戶端支持通道綁定則必須使用通道綁定完成身份驗證。Windows 7之後的系統只需更新2017年7月的更新便可支持。若是客戶端不支持通道綁定則不是強制的。
2表明全部客戶端必須使用通道綁定完成身份驗證，對於Windows客戶端來講不會有什麼問題。若是你有第三方調用LDAP驗證的程序最好確認後再在域控上啓用這個功能。