Windows LDAP加固之LDAP over SSL和通道绑定

不少网络通讯均可以用SSL来加密的，LDAP也不列外，一样能够用SSL加密。

LDAPS使用的证书必须知足如下几个条件：

1.证书的加强性密钥用法中必须有服务器身份验证Server Authentication
2.证书的名称或者SAN名称中的第一个是域控的FQDN
3.服务器端有证书的私钥
4.证书被客户端信任
若是看不到图，请点我。

从客户端上测试一下基于LDAPS的Simple Binding，结果也是能够正常链接的。


注意，因为加入域的客户端会自动添加域后缀，因此对于非域客户端测试，请使用FQDN链接。能够看到以前的几回尝试链接失败，返回错误81。有的是由于没有使用FQDN，有的是由于没有将域控使用证书的根证添加到本地服务器的受信任根证书列表中。域中的客户端会自动将企业根证书加到本地的受信任根证书列表中，这一点能够不用担忧。

有了SSL链接以后，另外一个能够进一步增强安全性的就是通道绑定Channel Binding Token。通道绑定是指服务器端会检测客户端提供身份验证信息的通道，若是被检测到客户端是经过不一样的通道提交验证信息，服务器会认为遭受到了凭据重放的公鸡（不是我写错了，是51CTO不容许），将此次认证视为无效的。更多信息能够参考RFC 5929

须要在服务器上添加注册表键值来启用。在如下位置HKLM\System\CurrentControlSet\Services\NTDS\Parameters添加REGDWORD 值LdapEnforceChannelBinding

0表明不要求通道绑定CBT
1表明若是客户端支持通道绑定则必须使用通道绑定完成身份验证。Windows 7之后的系统只需更新2017年7月的更新便可支持。若是客户端不支持通道绑定则不是强制的。
2表明全部客户端必须使用通道绑定完成身份验证，对于Windows客户端来讲不会有什么问题。若是你有第三方调用LDAP验证的程序最好确认后再在域控上启用这个功能。