如何在 Windows Server 中要求 LDAP 签名

轻量级目录访问协议 (LDAP) 是 Windows Server Active Directory (AD) 用于维护目录服务的行业标准应用程序协议。客户端设备和应用程序使用 LDAP“绑定”操作通过 AD 进行身份验证。 LDAP 简单绑定通过网络以明文形式发送用户凭据。 IE。用户名和密码没有加密。虽然 AD 支持简单绑定，但这不是推荐的方法。

使用 LDAP 简单绑定的应用程序应更新为使用简单身份验证和安全层 (SASL) 绑定，它支持签名和密封（验证/完整性和加密）。无法更新的应用程序可以使用 LDAP over TLS，有时称为 LDAPS；但实施和维护比较复杂。

好消息是，默认情况下，所有当前支持的 Windows 版本都会默认协商签名的 LDAP 连接。但尽管如此，除非 LDAP 签名设置为“必需”，否则 Active Directory 将接受 LDAP 简单绑定。如果 LDAP 在域中设置为“必需”，则 LDAP 简单绑定将会失败。因此，如果您想确保不使用 LDAP 简单绑定，则应将 AD 配置为需要 LDAP 签名。与任何安全更改一样，在启用域需要 LDAP 签名之前，您应该彻底测试以确保您没有任何依赖于 LDAP 简单绑定的应用程序。

需要在 Active Directory 中进行 LDAP 签名

在 Active Directory 域中要求 LDAP 签名的最简单方法是使用组策略。域控制器：LDAP 服务器签名要求需要签名设置可以在计算机配置\Windows 设置\安全设置\本地策略\安全选项下找到。有三种可能的设置：

• 无。与服务器绑定不需要签名。如果客户端计算机请求数据签名，服务器将支持它。
• 需要签名。除非配置了 TLS/SSL，否则需要 LDAP 签名。
• 未定义。（默认设置）。

要将域中的 LDAP 签名设置为必需，您可以更改默认域策略中的设置，或者创建新的组策略对象 (GPO) 并将其链接到所需的设置。

1. 使用具有修改组策略权限的域用户帐户登录加入域的PC。
2. 在任务栏上的搜索框中键入 mmc.exe，然后按 ENTER 键打开管理控制台。
3. 在“文件”菜单上，单击添加/删除管理单元。
4. 在“添加或删除管理单元”框中，单击组策略对象编辑器，然后单击添加。
5. 在新对话框中，单击浏览，然后选择默认域策略。如果您想要编辑另一个 GPO，请选择该 GPO。
6. 单击确定，然后单击完成。
7. 关闭其余打开的对话框。
8. 在 GPMC 中，展开默认域策略 GPO 并导航到计算机配置\Windows 设置\安全设置\本地策略\安全选项。
9. 在 GPMC 的右侧，滚动查找域控制器：LDAP 服务器签名要求。双击它。



10. 在“属性”对话框中，将下拉菜单设置为需要签名，然后单击确定。
11. 在“确认设置更改”对话框中，单击是确认您要修改 LDAP 签名配置。
12. 如果您将域中的 LDAP 签名设置为“需要签名”，则还应将网络安全：LDAP 客户端签名要求策略设置设置为需要签名，以便强制 Windows 客户端使用 LDAP 签名。
13. 如果您创建了自己的 GPO，现在请将其链接到您的域。
14. 配置完所需的设置后，关闭 GPMC。

就是这样！无需重新启动域控制器或客户端。现在，任何使用 LDAP 简单绑定的应用程序都将被 Active Directory 拒绝。