What risks should I be aware of that we're facing by not using SSL
As solicitações dos membros do domínio usarão o SASL (consulte: seção Modelo de segurança LDAP em este doc )
Solicitações que não forem de um membro do domínio ou cliente capaz de usar o SALS podem ser interceptadas. Internamente, isso pode não ser um grande negócio, já que você provavelmente tem uma rede comutada e um bom controle de sua infraestrutura física.
If I follow one of the million guides on the internet to enable SSL, will it interrupt current service? Or will I be able to do it and the client machines will some how be informed to use SSL automatically?
Não deve interromper o serviço atual. Alguns clientes (como o Dell LOM) precisarão de configuração para usar a porta SSL, se estiverem funcionando no momento, e você quiser ativar o SSL. Você não precisa fazer nada em seus servidores Windows / estações de trabalho.
I have two DCs running a single domain as domain.local. Since it's an "internal" TLD, I'm guessing I'll need to set this up using an internal CA and not a third party?
Você também pode usar um certificado autoassinado. Alguns clientes não vão gostar deste certificado auto-assinado, mas o seu Drac provavelmente ficaria bem com um certificado auto-assinado.
A configuração de uma CA corporativa é relativamente fácil, mas deve estar em uma caixa / vm apenas para essa finalidade. Você pode pagar uma licença extra do Windows?
Você também pode executar uma OpenSSL CA, pode executar uma a partir de uma unidade flash USB muito facilmente . Se você estiver familiarizado com o Linux, a configuração de um dispositivo Ubuntu box / vm / usb executando o tinyca só deve levar algumas horas.
Based off the answer of #1, would you say it's safe to stay off of SSL? What would you feel is the ratio of benefit to effort involved in getting converted to ssl?
- Se você não confia em sua infraestrutura física, provavelmente deve ativar o SSL.
- Se você tiver um número muito pequeno de servidores, talvez não valha a pena o esforço.
- Você pode reduzir o risco usando ipsec ou alguma VPN para criptografar o LDAP.
- Como Evan mencionou em um comentário, o DRAC LOM basicamente fornece acesso físico, portanto, você deve considerar a configuração do SSL para protegê-lo de um MITM.