Ne LDAP sur SSL besoin d'un cert sur le client?
Je suis en train de résoudre un problème selon lequel en essayant de mettre un mot de passe des utilisateurs sur LDAP échoue en raison d'une erreur d'accès refusé - même si je suis à l'authentification AD avec un utilisateur admin.
Une réponse que l'on trouve dans stackoverflow dit que soit j'ai pour exécuter l'IIS de l'utilisateur que l'utilisateur admin (qui fonctionne) ou, devrais-je connecter au LDAP via SSL.
Je ne peux pas aller avec la première option parce que je suis en utilisant Elastic Beanstalk qui permettra de créer et de mettre fin à des instances donc je ne peux pas modifier/définir l'utilisateur IIS s'exécuter en tant que. Donc, je suis en train d'utiliser le protocole LDAP sur SSL idée.
Ma question c'est est-ce que toujours exiger que le client lui-même ont également installé un certificat afin d'établir une relation de confiance avec le contrôleur de Domaine? Ou est-ce de travailler tout en installant un cert sur le contrôleur de Domaine et permettant la connexion via SSL?
Si elle exige un certificat sur le client alors que j'ai le même problème que je ne peux pas installer quoi que ce soit sur le client serveur autre que le déploiement de l'application depuis Beanstalk va recereate et de l'extinction de l'instance à volonté.
Donc ne LDAPS besoin d'un cert sur le client?
Est-il une meilleure façon de résoudre mon problème, compte tenu de l'infrastructure, je suis en utilisant?
- Pas de. Vous pouvez fournir des informations d'identification de différentes formes: un certificat client est un seul de ces,
Vous devez vous connecter pour publier un commentaire.
non, ILS ne nécessitent pas de certificat client. Certificat de contrôleur de domaine est suffisante pour utiliser le protocole LDAPS. Plus de détails sur le protocole LDAPS et l'exigence de certificat: LDAP sur SSL (LDAPS) Certificat
il pourrait y avoir over9000 raisons pourquoi vous recevez ce message. Vous devez vérifier si vous êtes authentifié avec succès sur DC, si oui, vérifier si vous avez les autorisations et privilèges (en particulier, si l'UAC est activé). Je voudrais configurer les politiques de vérification (sur utilisateur a échoué modifications de mot de passe) et de Sécurité de contrôle de journal des événements pour comprendre ce qui ne va pas.
Pas.
Pour openldap, j'ai réalisé cela en ajoutant cette ligne dans le ldap.conf. Mais être conscient de ce que, quand vous faites cela, vos connexions seront ouverts aux attaques de type man-in-the-middle ou tout autre.
C'est ce que j'ai trouvé à l'aide de l'essai et l'erreur d'approche:
En fait, LDAPS serveur toujours demande de certificat client. Vous pouvez le vérifier en tournant sur SCHANNEL journal et en observant le message suivant:
Si il n'y a pas de certificat d'authentification du client de connexion LDAPS encore réussit, c'est à dire pas de certificat d'authentification du client est nécessaire en effet. Mais si vous avez quelques invalide le certificat d'authentification du client (dans mon cas, c'était à l'expiration d'un cert installé il y a longtemps par une application tierce), la connexion échouera w/o toute erreur ou d'avertissement dans SCHANNEL journal sur le côté client. Il m'a fallu un certain temps pour comprendre cela.
Oui de la corse votre client a besoin d'un certificat pour permettre ladps communication entre
lui et de serveur.
Selon
windowsitpro.com: