В целом допустимо ли выставлять LDAP в режиме только для чтения в Интернете?
Мне нужно поддерживать клиенты Mac, которым необходим доступ к серверу LDAP для поиска ключей SMIME.
Поскольку ключи уже находятся в AD, и мне легко создать RODC или лес только для чтения, куда я отправляю сертификаты, допустимо ли открывать в Интернете не прошедшие проверку подлинности LDAP и LDAP?
Одна проблема, о которой я могу подумать, - это форма LDAP-атаки при сборе каталога, когда спаммер может определить, какие адреса являются действительными, а какие - нет.
2 ответа
Это полностью зависит от того, что находится в каталоге LDAP.
Для Active Directory, абсолютно нет, даже для RODC - профиль безопасности этих устройств предназначен для нахождения в вашей сети (RODC специально защищен от физического компромисса, поэтому вы можете держать его в шкафу - физический компромисс нормального DC предоставит злоумышленнику контроль над доменом и хэшами паролей всех пользователей).
Злоумышленник может получить кучу информации от AD - имена пользователей, чтобы попытаться аутентифицироваться, имена систем, некоторую топологию сети... если этого недостаточно для прямой атаки (атаки с использованием пароля на другую общедоступную конечную точку, например VPN?), Конечно достаточно собрать надежную социальную инженерию или фишинговую атаку.
Нет, это было бы неприемлемо. Не уверен, что вы пытаетесь достичь, но я бы сказал, что правильный способ - сначала установить VPN-соединение, а затем подключиться к LDAP.