Notre société tente d'implémenter quelques applications de connexion unique à l'aide d'Active Directory (Windows Server 2003) et de LDAP. Je voudrais verrouiller le compte utilisé pour rendre ces requêtes LDAP autant que possible. Quelle est la meilleure pratique pour configurer ce type de compte?Droits de sécurité minimum pour préformer les requêtes LDAP dans Active Directory
Vous pouvez restreindre/autoriser ce qu'un utilisateur peut voir ou interroger dans AD en utilisant facilement l'assistant de délégation. Vous pouvez accéder facilement à l'assistant de délégation en cliquant avec le bouton droit sur une unité d'organisation et en sélectionnant le contrôle de délégation. Vous als voudrez peut-être jeter un oeil à ces articles:
Default security concerns in Active Directory delegation
Best practices for delegating Active Directory administration: Case study: a delegation scenario
Veuillez consulter How to configure Active Directory to allow anonymous queries pour un minimum de sécurité.
Par défaut, l'implémentation Microsoft LDAP ne prend pas en charge Secure LDAP. Pour configurer le protocole LDAP sécurisé à l'aide de SSL, les certificats doivent être installés sur le serveur LDAP et sur le ou les clients LDAP. Dans de nombreux cas, le serveur LDAP est le contrôleur de domaine exécutant Active Directory.
Les certificats requis pour exécuter un protocole LDAP sécurisé à l'aide de SSL peuvent être configurés de plusieurs manières. Le concept est toujours le même:
requêtes anonymes ne sont pas nécessaires (et moins sûr) depuis l'OP met en évidence une "bind" utilisateur. Lier à l'ensemble de l'article peut donner au lecteur l'impression qu'il doit suivre toutes les instructions. Mieux vaut citer les sections qui correspondent au besoin spécifique du PO (et du futur visiteur). Si vous voulez citer la source, veuillez indiquer clairement que ce n'est pas la stratégie recommandée. – claytond