web-dev-qa-db-ja.com

LDAPを読み取り専用モードでインターネットに公開することは一般的に受け入れられますか?

SMIMEキーを見つけるためにLDAPサーバーにアクセスする必要があるMacクライアントをサポートする必要があります。

キーはすでにADにあり、RODCを作成したり、証明書をプッシュする読み取り専用フォレストを作成したりするのは簡単ですが、認証されていないLDAPおよびLDAPをインターネットに公開することはできますか?

私が考えることができる問題の1つは、LDAP形式のディレクトリハーベスト攻撃です。この攻撃では、スパマーが有効なアドレスと無効なアドレスを判別できます。

4

LDAPディレクトリの内容に完全に依存します。

Active Directoryの場合、絶対にそうではありません。RODCの場合でも、これらのデバイスのセキュリティプロファイルは、ネットワーク内に存在するように設計されています(RODCは特に物理的な侵害に対して強化されているため、クローゼット内に保管できます。 DCは、攻撃者がドメインとすべてのユーザーのパスワードハッシュを制御できるようにします)。

攻撃者はADから大量の情報を取得する可能性があります-認証を試みるユーザー名、システム名、ある程度のネットワークトポロジ..直接攻撃するのに十分でない場合(VPNなどの別のパブリックエンドポイントに対するパスワード攻撃?)、確かに堅実なソーシャルエンジニアリングまたはスピアフィッシング攻撃をまとめるのに十分です。

12
Shane Madden

いいえ、一般的には受け入れられません。何を達成しようとしているのかわかりませんが、正しい方法は、最初にVPN接続を確立してから、LDAPに接続することです。

11
ETL