none
ldap接入AD域单点认证 RRS feed

  • 问题

  • 大佬们咨询下,有这个问题如果解决:

    现在我这边有AD域服务器,但是业务开发这边要通过LDAP的认证接入我的AD域,需要我提供一个公共的AD账号密码,不过期的;但是他们内部开发直接互相传阅账号,导致不经过我们,他们自己就随便连接AD了,这样导致所有账号外泄了;就是有什么机制能控制他们连接,想连接AD域认证必须经过我们授权才可以的,不知道如何设置?

    以上还请了解的大佬们支持下!

    2021年2月25日 2:59

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据您的描述,我这边想到了两个可以限制这一行为的设置。

    1.定期更改那个公共账号的密码。
    2.限制那个公共账号允许登录的机器。





    但是,即使通过上面的设置,也不能完全达到安全的行为。即如果开发人员内部还是人为地互相传阅这个公共账号并且人为地外泄所有AD账号,那也还是不太安全。

    最安全的方法就是:只有域管理员知道这个公共的账号和密码,当现场的开发人员需要使用这个凭据的时候,由域管理员在开发现场提供账号和密码,只允许域管理员给他们现场输入凭据,然后使用期间由域管理员也监视着,直到使用结束退出连接,感觉这样才安全。但是,专门分配这样的一个域管理员好像也不太现实。

    希望上述的回复能有帮助。

    如有任何问题,欢迎您随时咨询我们。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年2月25日 6:22
    版主
  • 1,定期更改密码

    答:密码不能定期更改,因为是连接的业务通过ldap认证AD,定期更改,会造成业务中断,每次都要人为去更改业务那方的代码里面认证的密码

    2,加入限制登录机器

    答:业务方的LDAP认证是通过centos下的代码写的,这个功能没办法加,这个功能只能加入windwos加域机器的计算机名字

    另外,想问问,有什么方法能看到固定账号认证AD的信息记录,或者端口

    2021年2月25日 6:33
  • 尊敬的客户,您好!

    感谢您的回复!

    很抱歉,对于您原始帖子中的需求,我这边没有更好的想法或者方案。

    另外的问题:有什么方法能看到固定账号认证AD的信息记录,或者端口?

    您可以设置以下审核策略:

    编辑默认的域控制器组策略对象,设置传统的审核策略:
    Computer Configuration\Windows settings\security settings\local policies\audit policy
    Audit Account Logon Events – Success and Failure
    Audit Account Management - Success and Failure

    或者使用高级审核策略 (默认,任意一条高级审核策略一旦设置以后,所有传统的审核策略全部失效):
    Computer Configuration\Windows settings\security settings\Advanced Audit Policy Configuration

    Account Logon:
    Audit Kerberos Authentication Service - Success and Failure
    Audit Credential Validation – Success and Failure

    Account Management:
    Audit User Account Management – Success and Failure

    所以您的AD环境中的从来没有配置过高级审核策略的话,那您就配置传统的审核策略。


    然后在域控上更新组策略(默认5分钟更新一次,或者运行gpupdate /force命令更新策略设置)。

    这样,如果有人登录了,您可以在域控上检查是否有事件4771(Kerberos验证)或者事件4776(NTLN 验证)。


    如有任何问题,欢迎您随时咨询我们。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年2月26日 7:05
    版主
  • 尊敬的客户,您好!

    上午好!

    请问您这个问题是否有任何进展。

    如果您对我的回复有任何疑问,欢迎您随时咨询我们。


    此致,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2021年3月1日 2:34
    版主