web-dev-qa-db-ja.com

ActiveDirectoryを使用したLDAPover SSLの重要性はどれくらいですか?

私は、ActiveDirectoryをDellサーバーのiDRACLOMと統合することに着手しました。前提条件の1つは、ドメインコントローラーがLDAP通信に対してSSL対応であることです。 iDRACのセットアッププロセスはUpload Active Directory CA Certificateと言います。だから私は私たちのDCの1つにログインし、その個人証明書ストアに行きます、そしてそれは空です。今日まで、私は常に私たちのドメインサービスがSSLを使用していると思っていました(私はドメインを設定した人ではありませんでした)。私は自分の前にそれを設定したことがなく、インとアウトにあまり精通していないので、SSLを使用しているかどうかを確認する唯一の方法はDCそしてパケットをキャプチャします。ポート636でキャプチャしても何も得られませんでしたが、389でキャプチャするとあらゆる種類のデータが得られました。したがって、この時点では、SSLを使用していないと確信しています。

だから私の質問は、前後に送信されるディレクトリ情報が暗号化されることはどれほど重要ですか?ドメインがどのようなものであっても(会社の規模が大きく、セキュリティルールのレベルが異なる場合でも)暗号化されないという差し迫ったリスクがあった場合、MicrosoftはSSLを強制したと思います。

明らかに、DellサーバーのLOMとADを統合したいのですが、実装する前にやるべきことがいくつかあります。私が答えたいいくつかの質問は次のとおりです。

  1. SSLを使用しないことで直面しているリスクについて知っておくべきこと
  2. インターネット上の数百万のガイドの1つに従ってSSLを有効にすると、現在のサービスが中断されますか?または、それを実行でき、クライアントマシンにSSLを自動的に使用するように通知されますか?
  3. Domain.localとして単一のドメインを実行している2つのDCがあります。これは「内部」TLDであるため、サードパーティではなく内部CAを使用してこれを設定する必要があると思いますか?
  4. #1の答えに基づいて、SSLを使用しない方が安全だと思いますか? benefitsslへの変換にかかる労力の比率はどのように感じますか?
3
Safado

SSLを使用しないことで直面しているリスクについて知っておくべきこと

ドメインメンバーによるリクエストはSASLを使用します(以下を参照してください: このドキュメントのLDAPセキュリティモデルセクション

SALSを使用できるドメインメンバーまたはクライアントからの要求は傍受される可能性があります。内部的には、ネットワークが切り替えられており、物理インフラストラクチャを適切に制御している可能性があるため、これはそれほど大きな問題ではない可能性があります。

インターネット上の数百万のガイドの1つに従ってSSLを有効にすると、現在のサービスが中断されますか?または、それを実行でき、クライアントマシンにSSLを自動的に使用するように通知されますか?

現在のサービスを中断してはなりません。一部のクライアント(Dell LOMなど)は、SSLポートが現在機能していて、SSLを有効にする場合は、SSLポートを使用するように構成する必要があります。 Windowsサーバー/ワークステーションで何もする必要はありません。

Domain.localとして単一のドメインを実行している2つのDCがあります。これは「内部」TLDであるため、サードパーティではなく内部CAを使用してこれを設定する必要があると思いますか?

どちらでもかまいません。自己署名証明書を使用することもできます。一部のクライアントはこれを自己署名証明書が気に入らないでしょうが、Dracはおそらく自己署名証明書で問題ありません。

エンタープライズCAのセットアップは比較的簡単ですが、この目的のためだけに実際にはbox/vm上に配置する必要があります。予備のWindowsライセンスを買う余裕はありますか?

OpenSSL CAを実行することもできます。USBフラッシュドライブから実行することもできます 非常に簡単に 。 Linuxに精通している場合は、tinycaを実行するUbuntu box/vm/usbデバイスのセットアップに数時間しかかかりません。

#1の答えに基づいて、SSLを使用しない方が安全だと思いますか? sslへの変換に伴う労力に対する利益の比率はどのくらいだと思いますか?

  • 物理インフラストラクチャを信頼できない場合は、SSLを有効にする必要があります。
  • サーバーの数が非常に少ない場合は、努力する価値がない可能性があります。
  • LDAPを暗号化するためにipsecまたはVPNを使用してリスクを軽減できる場合があります。
  • Evanがコメントで述べたように、DRAC LOMは基本的に物理アクセスを提供しているため、MITMから保護するためにSSLの設定を強く検討する必要があります。
7
Zoredache