很多网络通信都可以用SSL来加密的,LDAP也不列外,同样可以用SSL加密. LDAPS使用的证书必须满足以下几个条件: 1.证书的增强性密钥用法中必须有服务器身份验证Server Authentication 2.证书的名称或者SAN名称中的第一个是域控的FQDN 3.服务器端有证书的私钥 4.证书被客户端信任 如果看不到图,请点我. 从客户端上测试一下基于LDAPS的Simple Binding,结果也是可以正常连接的. 注意,由于加入域的客户端会自动添加域后缀,所以对于非域客户端测试,请使…

微软计划于2020年1月推出补丁更新,启用LDAP签名.虽然目前版本的操作系统已经包含了这个功能,但是微软并没有将它启用.随着时间推移,网络上的威胁越来越多.凭据重放和中间人攻击在LDAP的攻击中显得极为有效.所以,我们需要尽快启用LDAP签名这个安全特性.值得注意的是微软的目录服务通常在企业内部用作最基本的身份验证,很多其它系统也依赖于Windows提供的LDAP服务,这些三方系统的兼容性需要得到足够的测试.建议先在某些域控上启用策略,完成测试验证. 先来看一下当前默认情况下的域环境的LDAP…

解决Windows下运行php Composer出现SSL报错的问题 2015-01-14 20:05   在windows下运行composer却出现SSL报错: E:\www>php -f composer.phar install Loading composer repositories with package information Installing dependencies (including require-dev) SSL certificate problem, ver…

一.LDAP简介 全称:Lightweight Directory Access Protocol,目录服务是一种特殊的数据库系统,其专门针对读取. LDAP目录中的信息是按照树型结构组织,具体信息存储在条目(Entry)中.DN(Distinguished Name)是用来引用条目的,其相当于关系数据库表中的关键字(Primary Key):条目信息由一组属性名(Attribute)和属性值(Values)组成,一个Attribute可以有多个Value. LDAP简称:1. c - coun…

Windows Server 2016 上配置 APACHE+SSL+PHP+perl 安装环境 谷歌云实例 Windows Server 2016 Apache Apache/2.4.25 (win64-VC14) PHP php-5.6.30 (VC11 x64 Thread Safe) PERL ActivePerl-5.24 (Win64) OpenSSL openssl-1.0.2j-win64 VC14 Microsoft Visual C++ 2015(vcredist_x64)…

Windows下基于IIS服务的SSL服务器的配置 实验环境 Windows Server 2008 R1(CA) Windows Server 2008 R2(web服务器) Windows 7 x64(客户端) 3台虚拟机打开桥接模式,保证能够相互ping通 实验原理 CA(根CA)负责为服务器颁发证书使得服务器证书可信. 服务器下载IIS组建,向CA申请一个SSL证书,并且将此证书与本机IP绑定.最后打开SSL服务. 客户端信任CA,因此可以安全地访问服务器网址. 实验步骤 安装证书服务…

Windows安全加固 # 账户管理和认证授权 # 1.1 账户 # 默认账户安全 # 禁用Guest账户. 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除.) 操作步骤 本地用户和组 > 用户 中,双击 Guest 帐户,在属性中选中 帐户已禁用,单击 确定. 按照用户类别分配帐户 # 按照用户分配帐户.根据业务要求,设定不同的用户和用户组.例如,管理员用户,数据库用户,审计用户,来宾用户等. 定期检查并删除与无关帐户 # 定期删除或锁定与设备运行.维护等与工作无关的帐户.…

之前两篇文章介绍了LDAP的安全加固,其中提到了TLS加密LDAP通信.对于通常的网页加密,RDP加密都可以在对应的管理界面中选择使用哪个证书来加密.那么对于LDAP服务,怎么确定当前使用的是哪张证书,如何更换对应的证书呢? 首先需要确定当前域控上使用哪个证书来加密LDAP.可以在本地的证书管理单元中查看计算机证书,但是对于有多张证书的服务器来说,需要确定具体哪张证书来加密LDAP就比较重要了.做了几次实验,发现后申请的证书会被优先用于加密.但是必须要有确实的证据证明使用了哪个证书.这里需要用到…

Windows Server 2008 R2 活动目录服务安装 http://blog.sina.com.cn/s/blog_622de9390100kgv3.html WINDOWS 2008 域控制器下修改密码策略 http://blog.sina.com.cn/s/blog_50516ddc01013iq0.html Windows2008 AD域无法删除组织单位 http://blog.51cto.com/freemanluo/355042 java代码LDAP操作(增删改查)AD(活动…

前言 接之前我的文章,django+ldap+memcache实现单点登录+统一认证 就单点登录实现过程进行详细记录,ldap是一切的基础,可以把它理解成一个读强写弱的文件类型数据库,统一认证我们通过ldap来实现,里边保存了账户信息.为什么不用其他的关系型数据库呢?我这里的需求是因为在使用的很多软件默认都支持ldap,比如我们后续要接入的svn.vpn.jira等,使用ldap可以更方便一些. ldap相关部署的文档网上资料比较多,这边就不着重说明了,请参考这篇文章http://www.cnb…