Безопасное управление Active Directory с другого компьютера

Question

Я создал веб-сайт ASP.NET, который должен получить доступ к Active Directory на другом сервере и изменить пароль пользователей. Проблема в том, что мне нужно пройти аутентификацию с существующей учетной записью AD, и я не могу отправить пароль пользователя AD в виде открытого текста при общении с сервером Active Directory. Как мне связаться с сервером AD с сайта ASP.NET, чтобы соединение было безопасным? Мой сервер AD поддерживает протокол LDAP, но я не знаю, как обеспечить связь с LDAP через безопасный канал.

ASP.NET Сайт -------------- LDAP/другой протокол (безопасный) ------------> AD сервера

Answer 1

довольно просто , вам нужно сделать две вещи:

• настройки экземпляра Active Directory, чтобы принимать соединения через LDAPS или порт 636. Вам нужен сертификат (это может быть самозаверяющими), чтобы установить, что.
• Обновите свой авторизационный код LDAP, чтобы использовать это новое соединение. Это не должно быть ничего более, чем изменить сервер для «LDAPS: // {{IP или DNS}}», и обеспечение вы устанавливаете SessionOptions.SecureSocketLayer = true;

Если вы хотите, чтобы убедиться, что он работает правильно, Wireshark трафик, оставляющий ваш сайт ASP.Net, который идет через порт 636, и вы должны заметить, что он теперь сильно зашифрован и невозможно отличить что-либо значимое.

Я сделал тонну этого материала на протяжении многих лет, так что у меня было несколько других вопросов, связанных с этим, что также должно помочь вам:

Set callback for System.DirectoryServices.DirectoryEntry to handle self-signed SSL certificate? (Содержит полную реализацию LDAPS)

Custom Multi-factor Active Directory Authentication (Это гораздо более простой пример, но будет работать прекрасно для ваших целей)