Ligações simples LDAP que não são protegidas por SSL / TLS são muito inseguras, pois envolve o envio de credenciais de nome de usuário e senha em texto puro pela rede.
Ligações simples LDAP são aceitáveis somente sobre SSL / TLS / LDAPS.
Tudo o que você precisa fazer para ativar o LDAPS em um controlador de domínio do Active Directory é instalar um certificado adequado com chave privada no controlador de domínio do AD:
Verifique e leia a seção de requisitos do artigo acima para ver o que constitui um certificado aceitável.
Depois de instalar um certificado aceitável no controlador de domínio, o Active Directory detectará automaticamente sua presença e ativará os LDAPS pela porta 636.
Você pode obter o certificado de qualquer Autoridade de Certificação que desejar, contanto que seja de confiança de todas as partes que participarão da comunicação. Pode ser uma PKI integrada ao AD existente ou pode ser uma CA que não é da Microsoft em sua rede corporativa ou pode até ser uma CA pública e confiável globalmente, como a GoDaddy, Symantec, etc., desde que seja capaz de produzir um certificado que atenda aos requisitos:
- O certificado LDAPS está localizado no armazenamento de certificados Pessoal do computador local (programaticamente conhecido como o armazenamento de certificados MY do computador).
- Uma chave privada que corresponde ao certificado está presente no armazenamento do computador local e está corretamente associada ao certificado. A chave privada não deve ter proteção strong de chave privada ativada.
- A extensão Enhanced Key Usage inclui o identificador de objeto Server Authentication (1.3.6.1.5.5.7.3.1) (também conhecido como OID).
- O nome de domínio totalmente qualificado do Active Directory do controlador de domínio (por exemplo, DC01.DOMAIN.COM) deve aparecer em um dos seguintes locais:
- O nome comum (CN) no campo Assunto.
- Entrada de DNS na extensão de nome alternativo do assunto.
- O certificado foi emitido por uma autoridade de certificação na qual o controlador de domínio e os clientes LDAPS confiam. A confiança é estabelecida configurando os clientes e o servidor para confiar na CA raiz para a qual as cadeias de CA de emissão.
- Você deve usar o provedor de serviços de criptografia Schannel (CSP) para gerar a chave.
(Tecnicamente, pode até ser um certificado autoassinado, embora isso não seja uma solução segura.)
Depois de instalar este certificado, o controlador de domínio ativará automaticamente o serviço LDAPS na porta 636. (E o serviço de catálogo global no 3269).
Até agora, descrevi apenas LDAPS, mas não especificamente StartTLS.
Você pode usar o startTLS em um servidor LDAP da Microsoft, se desejar:
Não requer nenhuma configuração adicional no servidor. Apenas envolve o cliente enviando os controles LDAP corretos (comandos) para o servidor. (O controle OID para startTLS é "1.3.6.1.4.1.1466.20037".)