Как выполнить тестирование подключения к сервису secure ldap

Блокировка доступа по защищенному протокол LDAP через Интернет

Предоставление доступа к управляемому домену по защищенному протоколу LDAP через Интернет создает угрозу безопасности. Управляемый домен доступен из Интернета через порт 636. Мы рекомендуем ограничить доступ к управляемому домену только из определенных IP-адресов, имеющих отношение к конкретной среде. Для ограничения доступа по защищенному протоколу LDAP можно использовать правило группы безопасности сети Azure.

Давайте создадим правило, которое разрешит входящий доступ по защищенному протоколу LDAP через TCP-порт 636 только для указанного набора IP-адресов. Правило DenyAll с низким приоритетом по умолчанию применяется ко всему остальному входящему трафику из Интернета, а значит доступ к управляемому домену по защищенному протоколу LDAP можно будет получить только с указанных адресов.

  1. На портале Azure выберите Группы ресурсов в панели навигации слева.

  2. Выберите группу ресурсов, например myResourceGroup, а затем выберите группу безопасности сети, например aaads-nsg.

  3. Отобразится список существующих правил безопасности для входящих и исходящих подключений. В левой части окна свойств для группы безопасности сети выберите Параметры  Правила безопасности для входящего трафика.

  4. Щелкните Добавить и создайте правило, открывающее TCP-порт 636. Для повышения безопасности выберите IP-адреса в качестве источника и укажите допустимый IP-адрес или диапазон адресов, принадлежащих вашей организации.

    Параметр Значение
    Источник IP-адреса
    IP-адреса источника или диапазоны в нотации CIDR Допустимый IP-адрес или диапазон для вашей среды
    Диапазоны исходных портов *
    Назначение Любой
    Диапазоны портов назначения 636
    Протокол TCP
    Действие Allow
    Приоритет 401
    Имя AllowLDAPS
  5. Когда все будет готово, щелкните Добавить, чтобы сохранить и применить это правило.

ОПЦИИ SASL

Если OpenLDAP собран с поддержкой Simple Authentication and Security Layer, можно определить дополнительные опции:

SASL_MECH <mechanism>

Указывает, какой механизм SASL следует использовать.

SASL_REALM <realm>

Указывает SASL-realm.

SASL_AUTHCID <authcid>

Указывает аутентификационную идентификационную сущность. Эту опцию может задавать только пользователь.

SASL_AUTHZID <authcid>

Указывает прокси-авторизационную идентификационную сущность. Эту опцию может задавать только пользователь.

SASL_SECPROPS <properties>

Определяет параметры безопасности Cyrus SASL. В аргументе <properties> может быть указан разделённый запятыми список следующих параметров:

none

(без указания каких-либо других параметров) приводит к сбросу параметров по умолчанию («noanonymous,noplain»).

noplain

отключает механизмы, потенциально неустойчивые к простым пассивным атакам.

noactive

отключает механизмы, потенциально неустойчивые к активным атакам.

nodict

отключает механизмы, потенциально неустойчивые к простым атакам по словарю.

noanonymous

отключает механизмы, поддерживающие анонимные соединения.

forwardsec

требует обеспечения так называемой прямой секретности (forward secrecy) между сессиями.

passcred

требует использования механизмов, осуществляющих передачу удостоверяющих данных клиента (и, для осуществления этого, разрешает механизмы, способные передавать удостоверяющие данные).

minssf=<factor>

указывает минимально приемлемый фактор силы безопасности (security strength factor) в виде целого числа, приблизительно отражающего эффективную длину ключа, используемого для шифрования. 0 (ноль) подразумевает отсутствие защиты, 1 подразумевает только защиту целостности данных, 56 разрешает использование DES или других слабых шифров, 112 разрешает использование Triple DES и других сильных шифров, 128 разрешает использование RC4, Blowfish и других современных сильных шифров. Значение по умолчанию — 0.

maxssf=<factor>

указывает максимально возможный фактор силы безопасности (security strength factor) в виде целого числа (смотрите описание опции minssf). Значение по умолчанию — INT_MAX.

maxbufsize=<factor>

определяет максимально разрешённый размер буфера полученных уровней обеспечения безопасности. Значение 0 отключает уровни обеспечения безопасности. Значение по умолчанию — 65536.

SASL_NOCANON <on/true/yes/off/false/no>

Не выполнять обратные DNS-запросы для поиска канонической формы имён хостов SASL. Значение по умолчанию — off.

22.3. Ошибки OpenLDAP

Иногда Вы можете столкнуться с реальной ошибкой OpenLDAP, в этом случае сообщите об этом в нашей Системе отслеживания проблемных вопросов по адресу http://www.openldap.org/its/. Однако, убедитесь, что Ваша ошибка не входит в число известных ошибок или часто возникающих проблем пользователей.

  • ошибки в устаревших версиях OpenLDAP рассматриваться не будут;
  • ошибки в релизах, которые больше не присутствуют в главной ветке Git (либо потому, что они уже были исправлены, либо этот функционал был исключён), рассматриваться не будут;
  • ошибки в дистрибутивах программного обеспечения OpenLDAP, которые не относятся к программному обеспечению, предоставляемому OpenLDAP (скорее всего имеются ввиду патчи, дополнения и т.п.), рассматриваться не будут; в этих случаях обращайтесь к распространителям.

Примечание: НЕ ПРЕДНАЗНАЧЕНА для осуществления поддержкиhttp://www.openldap.org/lists/

Данные, которые необходимо предоставить в Вашем отчёте об ошибке, обсуждаются на нашем FAQ-O-MATIC по адресу http://www.openldap.org/faq/data/cache/59.html.

LDAP / поля GLPI

По умолчанию, они инициализируются с использованием стандартных LDAP-совместимых параметров (не Active Directory). Параметры, приведенные ниже, являются лишь примерами. Параметры для вашего каталога LDAP могут быть другими.

Параметр Стандартное значение LDAP Значение в Active Directory
Фамилия cn sn
Имя givenname givenname
Комментарии
Email mail mail
Телефон telephonenumber telephonenumber
Телефон 2
Мобильный телефон mobile
Должность title title
Категория department
Язык preferredlanguage preferredlanguage

<note warning>
Имена атрибутов LDAP должны быть в нижнем регистре.
Самый простой способ определить поля, которые соответствуют этой информации, в вашем LDAP каталоге или AD — использовать LDAP-браузер, о которых было написано в предыдущем разделе, поскольку поля могут существенно отличаться в зависимости от используемой вами системы.
</note>

Параметр “Язык” со значением соответствующего параметра пользователя, указанного в LDAP каталоге. Эта возможность может быть полезна в мультиязычной среде.

<note warning>
Когда пользователя удаляют из LDAP/AD каталога, его учетная запись не удаляется из GLPI, она только отключается.
</note>

Настроить аутентификацию пользователей через LDAP на .NET Core

Для включения возможности авторизации пользователей с помощью LDAP внесите изменения в файл Terrasoft.WebHost.dll.config в корневой папке приложения. Настройки для Active Directory и OpenLDAP одинаковы.

Укажите “Ldap” в списке доступных провайдеров авторизации

Чтобы портальные пользователи могли войти в систему, добавьте провайдер “SspLdapProvider”:

Важно. Необходимо соблюдать регистр согласно примеру
Также обратите внимание, что названия провайдеров должны быть приведены через запятую и без пробелов.

Укажите настройки провайдера аутентификации “Ldap”:

ServerPath — доменное имя (URL-адрес) LDAP сервера, но не IP-адрес.

KeyDistributionCenter — доменное имя (URL-адрес), но не IP-адрес.
На заметку

Если вы выберете тип аутентификации “Kerberos”, то сервер приложений Creatio должен быть включен в домен, в котором находится LDAP-сервер и центр распределения ключей.

Чтобы использовать защищенный протокол LDAPS, в настройках провайдера аутентификации укажите следующие параметры:

SecureSocketLayer — флаг для использования LDAPS.

CertificateFileName — имя сгенерированного SSL-сертификата для валидации LDAPS-подключения
Данный сертификат должен находиться в корне приложения. Этот параметр обязательный для заполнения при SecureSocketLayer=true, например:

Укажите IP или адрес сервера, а также параметры домена для портальных пользователей в секции “SspLdapProvider”:

Сохраните изменения в файле Terrasoft.WebHost.dll.config.

Дополнительная информация

Метод обработки безопасности сеанса LDAP зависит от того, какие параметры протокола и проверки подлинности выбраны. Существует несколько возможных вариантов сеанса:

  • Сеансы в портах 389 или 3268 или пользовательских портах LDS, которые не используют TLS/SSL для простого привязки: безопасность для этих сеансов не существует. Это потому, что учетные данные передаются в понятном тексте. Поэтому для обеспечения защиты не существует защищенного ключа. Эти сеансы должны быть отключены, установив LDAPServerIntegrity в required.
  • Сеансы в портах 389 или 3268 или в пользовательских портах LDS, которые не используют TLS/SSL для привязки простого уровня проверки подлинности и безопасности (SASL).
  • Сеансы, использующие TLS/SSL с использованием заранее задатного порта (636, 3269 или пользовательского порта LDS), которые используют расширенную операцию STARTTLS.

Сеансы LDAP, не использующие TLS/SSL, связывание с помощью SASL

Если сеансы LDAP подписаны или зашифрованы с помощью логотипа SASL, сеансы защищены от атак Man-In-the-Middle (MITM). Это потому, что вы можете получить ключи подписи, только если вы знаете пароль пользователя. Сведения о расширенной защите для проверки подлинности (EPA) не должны иметься.

Выбранный метод SASL может иметь собственные векторы атак, например NTLMv1. Но сама сессия LDAP является безопасной. Если вы используете 256-битное шифрование Kerberos AES, это будет так же хорошо, как и в 2020 году.
Применяются следующие руководящие принципы политики:

  • Параметр LDAPServerIntegrity=2 важен для этого параметра сеанса, так как он обеспечивает использование подписи клиентом. При шифровании сеансов это требование также соответствует требованиям.
  • Параметр LdapEnforceChannelBinding не имеет отношения к этому параметру сеанса.

Для этих сеансов не добавлены сведения о CBT. Качество реализации клиента TLS определяет, может ли клиент обнаружить атаку MITM (с помощью проверки имени сертификата сервера, проверки CRL и т. п.).

Применяются следующие руководящие принципы политики:

  • Требование для LDAPServerIntegrity соответствует, так как канал TLS обеспечивает подписание. Уровень безопасности, который обеспечивает канал TLS, зависит от реализации клиента TLS.
  • Параметр LdapEnforceChannelBinding не имеет отношения к этому параметру сеанса.

В настоящее время для этих сеансов не добавлены сведения о CBT. Качество реализации клиента TLS определяет, может ли клиент обнаружить атаку MITM (с помощью проверки имени сертификата сервера, проверки CRL и т. п.). Проверка подлинности клиентского сертификата достаточна для блокировки атак MITM, но она не предотвращает другие категории атак, которые могут быть смягчаемы только путем соответствующей клиентской проверки сертификата TLS, который представлен сервером.

Применяются следующие руководящие принципы политики:

  • Требование для LDAPServerIntegrity соответствует, так как канал TLS обеспечивает подписание. Уровень безопасности, который обеспечивает канал TLS, зависит от реализации клиента TLS.
  • Параметр LdapEnforceChannelBinding не имеет отношения к этому параметру сеанса.

Настройки сервера

 Настройка

 Описание

 Имя

Введите значащее имя, чтобы помочь вам идентифицировать сервер каталогов LDAP. Примеры:

        Пример каталог штата компании

        Пример Компания Corporate LDAP

 Тип каталога

Выберите тип каталога LDAP, к которому вы будете подключаться. Если вы добавляете новое соединение LDAP, значение, которое вы выбрали здесь, будет определять значения по умолчанию для многих параметров на остальном экране. Примеры:

         Microsoft Active Directory

         OpenDS

         И более.

 Имя хоста

Имя хоста вашего сервера каталогов. Примеры:

         ad.example.com

         ldap.example.com

         opends.example.com

 Использовать SSL

Проверьте это, если соединение с сервером каталогов является соединением SSL (Secure Sockets Layer=Протокол SSL))

Обратите внимание, что вам необходимо настроить SSL-сертификат, чтобы использовать этот параметр.

                      Имя пользователя

Различающееся имя пользователя, которое приложение будет использовать при подключении к серверу каталогов. Примеры:
• сп = администратор, сп = пользователей, dc = объявления, DC = пример, DC = COM
• сп = пользователь, dc = домен, DC = имя
[email protected]

По умолчанию все пользователи могут читать атрибут uSNChanged; однако только администраторы или пользователи с соответствующими разрешениями могут обращаться к контейнеру «Удаленные объекты»

Конкретные привилегии, необходимые пользователю для подключения к LDAP, — это «Bind» и «Read» (информация о пользователе, информация о группе, членство в группе, порядковый номер обновления, удаленные объекты), которые пользователь может получить, будучи членом встроенная группа администраторов Active Directory .
Обратите внимание, что инкрементная синхронизация не будет выполняться молча, если пользователь получает доступ к Active Directory без этих привилегий. Об этом сообщается как CWD-3093.

 Пароль

Пароль пользователя, указанного выше.
Примечание. Для подключения к LDAP-серверу необходимо, чтобы это приложение зарегистрировалось на сервере с указанным здесь именем пользователя и паролем. В результате этот пароль не может быть односторонним хэшем — он должен быть восстановлен в контексте этого приложения. Пароль в настоящее время хранится в базе данных простым текстом без обфускации(запутывания). Чтобы гарантировать его безопасность, вам необходимо убедиться, что другие процессы не имеют разрешений на чтение на уровне операционной системы для базы данных или файлов конфигурации этого приложения.

ОПЦИИ

Опции конфигурации различного назначения:

URI

Указывает URI (один или несколько) LDAP-сервера (серверов), к которым следует осуществлять подключение библиотеке LDAP. В качестве схемы в URI могут быть ldap, ldaps или ldapi, указывающие, соответственно, на подключения LDAP поверх TCP, LDAP поверх SSL (TLS) и LDAP поверх IPC (доменных сокетов UNIX). Каждое имя сервера может быть указано как доменное имя или как IP-адрес. Опционально, за именем сервера может следовать знак ‘:’ и номер порта, на котором ожидает подключения LDAP-сервер. Если номер порта не указан, используется значение порта по умолчанию для конкретного вида схемы (389 для ldap://, 636 для ldaps://)

Для LDAP поверх IPC аргумент name представляет собой имя сокета, а аргумент port указывать нельзя; обратите внимание, что разделительные символы директорий должны быть закодированы в формате URL, как и все остальные символы, являющиеся специальными для URL; таким образом, сокет

/usr/local/var/ldapi

должен быть указан как

ldapi://%2Fusr%2Flocal%2Fvar%2Fldapi

В данной опции может быть предоставлен список URI, разделённых пробелами.

BASE <base>

Определяет базовое DN, использующееся по умолчанию при выполнении операций ldap. Аргумент base должен быть указан как уникальное имя (Distinguished Name) в формате LDAP.

BINDDN <dn>

Определяет DN подключения, использующееся по умолчанию при выполнении операций ldap. DN подключения должен быть указан как уникальное имя (Distinguished Name) в формате LDAP. Эту опцию может задавать только пользователь.

DEREF <when>

Определяет, как будет осуществляться разыменование псевдонимов при выполнении поиска. В качестве аргумента <when> может быть указано одно из следующих ключевых слов:

never

Псевдонимы не разыменовываются никогда. Это значение по умолчанию.

searching

Псевдонимы разыменовываются, если они встречаются в нижестоящих по отношению к базе поиска объектах, но не разыменовываются при нахождении самого объекта базы поиска.

finding

Псевдонимы разыменовываются только при нахождении объекта базы поиска.

always

Псевдонимы разыменовываются как при осуществлении поиска, так и при нахождении объекта базы поиска.

HOST <name …>

Указывает имя (имена) LDAP-сервера (серверов), к которым следует осуществлять подключение библиотеке LDAP. Каждое имя сервера может быть указано как доменное имя или как IP-адрес. Опционально, за именем сервера может следовать знак ‘:’ и номер порта, на котором ожидает подключения LDAP-сервер. В данной опции может быть предоставлен список хостов, разделённых пробелами. Опция HOST считается устаревшей в пользу URI.

NETWORK_TIMEOUT <integer>

Указывает тайм-аут (в секундах), после которого вслед за вызовом connect(2), в случае отсутствия активности, возвращаются poll(2)/select(2).

PORT <port>

Определяет порт по умолчанию, используемый при соединении с LDAP-сервером (серверами). В качестве аргумента port указывается номер порта. Опция PORT считается устаревшей в пользу URI.

REFERRALS <on/true/yes/off/false/no>

Указывает, должен ли клиент автоматически следовать по отсылкам, возвращаемым LDAP-серверами. Значение по умолчанию — on. Имейте ввиду, что инструменты командной строки, такие как ldapsearch(1), всегда переопределяют эту опцию.

SIZELIMIT <integer>

Определяет ограничение по размеру (указывается в количестве записей), которое следует использовать при выполнении поиска. В качестве аргумента должно быть неотрицательное целое число. Значение ноль (0) опции SIZELIMIT указывает на то, что ограничений по размеру при выполнении поиска не запрашивается. Помните, что сервер может также применять свои ограничения на количество записей, которые могут быть возвращены операцией поиска.

TIMELIMIT <integer>

Определяет ограничение по времени (в секундах), которое следует использовать при выполнении поиска. В качестве аргумента должно быть неотрицательное целое число. Значение ноль (0) опции TIMELIMIT указывает на то, что ограничений по размеру при выполнении поиска не накладывается. Помните, что сервер может также применять свои ограничения на продолжительность выполнения операции поиска.

2.4.47 {2|3}

Указывает, какую версию протокола LDAP следует использовать.

TIMEOUT <integer>

Указывает тайм-аут (в секундах), после которого вызовы команд синхронного API LDAP, на которые не получены ответы, будут прерваны. Также используются для любых вызовов ldap_result(3), в которых параметру timeout было задано значение NULL.

Расширенные настройки

 Настройка

Описание

 Включить вложенные группы

Включить или отключить поддержку вложенных групп.

Некоторые серверы каталогов позволяют вам определить группу в качестве члена другой группы. Группы в такой структуре называются вложенными группами. Вложенные группы упрощают разрешения, позволяя подгруппам наследовать разрешения от родительской группы.

 Управление статусом пользователя локально

Если true, вы можете активировать и деактивировать пользователей в Crowd независимо от их статуса на сервере каталогов.

 Отфильтровать истекших пользователей

Если значение true, учетные записи пользователей, отмеченные как истекшие в ActiveDirectory, будут автоматически удалены. Для кэшированных каталогов удаление пользователя произойдет во время первой синхронизации после истечения срока действия учетной записи.

Примечание. Это доступно в Embedded Crowd 2.0.0 и выше, но недоступно в версии 2.0.0 m04.

 Использовать постраничные результаты

Включить или отключить использование расширения LDAP для простого поиска поисковых запросов. Если пейджинг включен, поиск будет извлекать наборы данных, а не все результаты поиска сразу. Введите желаемый размер страницы — то есть максимальное количество результатов поиска, которое будет возвращено на страницу при включении результатов подкачки. Значение по умолчанию — 1000.

 Перенаправление переходов

Выберите, разрешать ли серверу каталогов перенаправление запросов на другие серверы. Эта опция использует настройку конфигурации узла (JNDI lookup java.naming.referral). Обычно это необходимо для серверов Active Directory, настроенных без надлежащего DNS, для предотвращения ошибки ‘javax.naming.PartialResultException: Unprocessed Continuation Reference(s)’: («необработанного продолжения ссылки»).

 Наивное соответствие DN

Если ваш сервер каталогов всегда возвращает согласованное строковое представление DN, вы можете включить наивное соответствие DN. Использование наивного соответствия DN приведет к значительному улучшению производительности, поэтому мы рекомендуем включить его там, где это возможно.

Этот параметр определяет, как ваше приложение будет сравнивать DN, чтобы определить, равны ли они.

  •          Если этот флажок установлен, приложение выполнит прямое, нечувствительное к регистру, сравнение строк. Это стандартный и рекомендуемый параметр для Active Directory, поскольку Active Directory гарантирует формат DN.
  •          Если этот флажок не выбран, приложение проанализирует DN и затем проверит анализируемую версию.

 Включить инкрементную синхронизацию

Включите инкрементную синхронизацию, если вам нужны изменения только после последней синхронизации, которая запрашивается при синхронизации каталога.

 Помните, что при использовании этой опции учетная запись пользователя, настроенная для синхронизации, должна иметь доступ на чтение:

  •          Атрибута uSNChanged всех пользователей и групп в каталоге, который необходимо синхронизировать.
  •          Объектов и атрибутов в контейнере удаленных объектов Active Directory.

Если по крайней мере одно из этих условий не выполняется, вы можете оказаться в списке пользователей, которые добавлены (или удалены) из Active Directory, которая не добавляется (или удаляется) в приложении.

 Интервал синхронизации (минуты)

Синхронизация — это процесс, с помощью которого приложение обновляет свое внутреннее хранилище данных пользователя, чтобы согласовать данные на сервере каталогов. Приложение отправляет запрос на ваш сервер каталогов каждые x минут, где «x» — это номер, указанный здесь. Значение по умолчанию — 60 минут.

 Время ожидания чтения (в секундах)

Время, в секундах, ожиданиеь ответа, который будет получен. Если в течение указанного периода ответа нет, попытка чтения будет прервана. Значение 0 (ноль) означает, что нет предела. Значение по умолчанию — 120 секунд.

 Время ожидания поиска (в секундах)

Время, в секундах, ожидания ответа от операции поиска. Значение 0 (ноль) означает, что нет предела. Значение по умолчанию — 60 секунд.

 Время ожидания подключения (в секундах)

Этот параметр влияет на два действия. Значение по умолчанию равно 0.

  •          Время ожидания получения соединения из пула соединений. Значение 0 (ноль) означает, что нет предела, поэтому подождите бесконечно.
  •          Время, в секундах, ждать при открытии новых подключений к серверу. Значение 0 (ноль) означает, что будет использоваться таймаут сети TCP, который может составлять несколько минут.

22.7. Отладка slapd(8)

После прочтения всех предыдущих подразделов и перед тем, как отправить письмо в списки рассылки OpenLDAP, Вы можете попробовать некоторые из следующих действий, чтобы выяснить причину Вашей проблемы:

  • Как правило, loglevel stats (256) — это хороший первичный уровень журналирования, чтобы попытаться получить полезную информацию для включения её в свой вопрос;
  • Запуск slapd -d -1 часто помогает выяснить простые вопросы, вроде пропущенного набора схемы или недостаточных прав на файл для пользователя, от которого запускается slapd (например, в случае использования сертификатов);
  • Проверьте ошибки в Ваших журналах, как обсуждается в http://www.openldap.org/faq/data/cache/358.html.

Назначение CredSSP

Что такое CredSSP — это Win32 API, используемый системами Microsoft Windows для выполнения различных операций, связанных с безопасностью, таких как аутентификация. SSPI функционирует, как общий интерфейс для нескольких поставщиков поддержки безопасности (SSP). Поставщик поддержки безопасности — это библиотека динамической компоновки (DLL), которая делает один или несколько пакетов безопасности доступными для приложений.

CredSSP позволяет приложению делегировать учетные данные пользователя от клиента целевому серверу для удаленной аутентификации. CredSSP предоставляет зашифрованный канал протокола безопасности транспортного уровня . Клиент проходит проверку подлинности по зашифрованному каналу с использованием протокола SPNEGO (Simple and Protected Negotiate) с Microsoft Kerberos или Microsoft NTLM.

После проверки подлинности клиента и сервера клиент передает учетные данные пользователя на сервер. Учетные данные дважды шифруются с использованием ключей сеанса SPNEGO и TLS. CredSSP поддерживает вход в систему на основе пароля, а также вход в систему с использованием смарт-карт на основе X.509 и PKINIT.

Подробнее на Microsoft https://docs.microsoft.com/en-us/windows/desktop/secauthn/credential-security-support-provider

Windows SSP

Следующие поставщики общих служб устанавливаются вместе с Windows:

  • NTLM (Представлено в Windows NT 3.51 ) (msv1_0.dll) — обеспечивает проверку подлинности NTLM с запросом/ответом для клиент-серверных доменов до Windows 2000 и для не доменной аутентификации (SMB /CIFS).
  • Kerberos (Представлен в Windows 2000 и обновлен в Windows Vista для поддержки AES ) (kerberos.dll). Предпочтителен для взаимной аутентификации клиент-серверного домена в Windows 2000 и более поздних версиях. 
  • Согласование (введено в Windows 2000) (secur32.dll) — выбирает Kerberos и, если не доступно, протокол NTLM. SSP обеспечивает возможность единого входа , иногда называемую встроенной аутентификацией Windows (особенно в контексте IIS). В Windows 7 и более поздних версиях представлен NEGOExts, в котором согласовывается использование установленных пользовательских SSP, которые поддерживаются на клиенте и сервере для аутентификации.
  • Безопасный канал (он же SChannel) — Представлен в Windows 2000 и обновлен в Windows Vista и выше для поддержки более надежного шифрования AES и ECC. Этот поставщик использует записи SSL/TLS для шифрования полезных данных. (Schannel.dll)
  • PCT (устарел) реализация Microsoft TLS/SSL — криптография SSP с открытым ключом, которая обеспечивает шифрование и безопасную связь для аутентификации клиентов и серверов через Интернет. Обновлено в Windows 7 для поддержки TLS 1.2.
  • Digest SSP (Представлено в Windows XP ) (wdigest.dll) — Обеспечивает проверку подлинности HTTP и SASL на основе запросов/ответов между системами Windows и не-Windows, где Kerberos недоступен.
  • Учетные данные (CredSSP) (Представлено в Windows Vista и доступно в Windows XP с пакетом обновления 3 (SP3)) (credssp.dll) — обеспечивает SSO и проверку подлинности на уровне сети для служб удаленных рабочих столов.
  • Аутентификация с распределенным паролем (DPA) — (Представлено в Windows 2000) (msapsspc.dll) — Обеспечивает аутентификацию через Интернет с использованием цифровых сертификатов.
  • Криптография с открытым ключом «пользователь-пользователь» (PKU2U) (представлена ​​в Windows 7 ) (pku2u.dll) — обеспечивает одноранговую аутентификацию с использованием цифровых сертификатов между системами, которые не являются частью домена.

Подробнее на https://en.wikipedia.org/wiki/Security_Support_Provider_Interface

Example 4: LDAP name attributes

The LDAP name attributes setting can be used to specify the “name” attributes of each record which are to be returned in the LDAP search results.

When you type in this field for example:cn sn displayNamethis requires to specify “cn”—>commonName means Full name of the user, “sn”—>Surname, last name or family name and “displayName” fields for each LDAP record.

See the following screenshot example of an Active Directory:

Further Examples:

  • cn sn displayNameRequires “cn”, “sn” and “displayName” fields for each LDAP record.
  • givenName Requires “givenName” field for each LDAP record.

vorName nachNameRequires “vorName” and “nachName” fields for each LDAP record.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Все про сервера
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: