Sunday, September 24th, 2006...11:25 pm

Zablokowanie możliwości użycia simple bind bez SSL dla instancji ADAM

Jump to Comments

Dzisiaj na liście ActiveDir.org ~Eric (Eric Fleischman) wskazał interesującą opcję pozwalającą na włączenie w ramach instancji ADAM mechanizmu odrzucającego próby uwierzytelnienia przez LDAP simple bind bez zabezpieczenia SSL.

LDAP simple bind jest zdefiniowanym w ramach RFC dla protokołu LDAP mechanizmem pozwalającym na połączenie do serwera LDAP, ponieważ pozwala on na połączenie w kontekście odpowiedniego użytkownika poprzez podanie nazwy użytkownika i hasła, jest on również często używany jako mechanizm uwierzytelnienia w odniesieniu do serwera LDAP. Wadą tego rozwiązania jest fakt że dane użytkownika przekazywane są poprzez sieć w postaci czystego tekstu, dlatego wskazane jest używanie przy transmisji danych zabezpieczenia poprzez użycie SSL.

W przypadku instancji ADAM możliwe jest wymuszenie tego rodzaju zachowania, poprzez skonfigurowanie serwera tak, aby odrzucał próby wykonania uwierzytelnienia poprzez simple bind na portach ADAM nie zabezpieczonych przez SSL. Aby ten efekt osiągnąć należy we właściwościach obiektu CN=Directory Service,CN=Windows T,CN=Services,CN=Configuration,CN={<GUID>} instancji ADAM ustawić wartość atrybutu RequireSecureSimpleBind na 1.

Zmiana ta powoduje że próby uwierzytelnienia bez zabezpieczenia SSL są przez serwer odrzucane, nie zabezpiecza to jednak przed ich wykonywaniem co wiąże się z przekazaniem danych w formie nie zabezpieczonej przez sieć.

Comments are closed.