【问题标题】:Enable ldaps on multiple AD domain controllers在多个 AD 域控制器上启用 ldaps
【发布时间】:2017-03-17 06:01:14
【问题描述】:

我的目标是在 ovirt4 上启用 AD 身份验证。它需要我的 AD 上的 ldaps。 我找到了很多关于如何使用自签名证书(例如https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-third-party-certification-authority)启用 ldap over ssl 的说明,但它们都描述了一个域控制器案例。 我该如何处理两个域控制器的情况?我应该在每台机器上创建证书还是创建通配符证书是合理的?

【问题讨论】:

  • 有人回答了您的问题,您回信“非常感谢!它有效!”。你为什么不点击灰色的复选标记来接受答案?当答案对您有用时,您应该以这种方式承认回答者,否则人们可能会对您不满意。只是我的两分钱....

标签: ssl active-directory ldap domaincontroller ovirt


【解决方案1】:

是的,您需要在两台机器上创建 SSL 证书。两个域控制器都需要 SSL 证书,因为如果您连接到域名而不是特定的域控制器主机名,您可能会轮询到任一域控制器,因此您将需要它们两个证书。避免使用通配符证书,除非您在实验室场景中,否则在 PKI 世界中,这些证书被认为是主要的安全风险。此外,通配符证书也不能用于域控制器,因为域控制器的 Active Directory 完全限定域名(例如 DC01.DOMAIN.COM)必须出现在 SSL 证书中的以下位置之一:

  1. 主题字段中的通用名称 (CN)。
  2. 主题备用名称扩展中的 DNS 条目。

有关详细信息,请参阅 MS KB 321051。

【讨论】:

  • 我们已经回答了您的问题,请将其标记为这样,以便向社区中的其他人验证;否则请告诉我们。
猜你喜欢
  • 2015-02-28
  • 1970-01-01
  • 1970-01-01
  • 2021-03-16
  • 2015-01-04
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多