당사는 Active Directory (Windows Server 2003) 및 LDAP를 사용하여 몇 가지 Single Sign-On 응용 프로그램을 구현하려고합니다. 가능한 한 이러한 LDAP 쿼리를 만드는 데 사용되는 계정을 잠급니다. 이 유형의 계정을 구성하는 가장 좋은 방법은 무엇입니까?Active Directory에서 LDAP 쿼리를 미리 작성할 수있는 최소 보안 권한
위임 마법사를 사용하면 AD 내에서 사용자가 볼 수 있거나 볼 수있는 항목을 제한하거나 허용 할 수 있습니다. OU를 마우스 오른쪽 단추로 클릭하고 위임 컨트롤을 선택하여 위임 마법사에 쉽게 액세스 할 수 있습니다. 당신 루게릭 병은이 기사에서 살펴 봐야 할 수 있습니다 :
Default security concerns in Active Directory delegation
Best practices for delegating Active Directory administration: Case study: a delegation scenario
영업 이익은 분명히 "바인딩"을 설정하기 때문에최소한의 보안을 위해 How to configure Active Directory to allow anonymous queries을 참조하십시오.
기본적으로 Microsoft LDAP 구현은 보안 LDAP를 지원하지 않습니다. SSL을 사용하여 보안 LDAP를 설정하려면 인증서가 LDAP 서버 및 LDAP 클라이언트 모두에 설치되어 있어야합니다. 대부분의 경우 LDAP 서버는 Active Directory를 실행하는 도메인 컨트롤러입니다.
SSL을 사용하여 보안 LDAP를 실행하는 데 필요한 인증서는 여러 가지 방법으로 구성 할 수 있습니다. 개념은 항상 동일합니다 :
익명 쿼리가 필요 (덜 안전한)입니다 사용자. 전체 기사에 연결하면 독자가 모든 지침을 따라야한다는 인상을 줄 수 있습니다. OP (그리고 미래의 방문객)의 특정 요구와 관련된 섹션을 인용하는 것이 좋습니다. 출처를 인용하고 싶다면 이것이 권장 전략이 아니라는 것을 분명히 밝혀주십시오. – claytond