Windows 2012R2 시스템에 Active Directory를 설정했습니다. 나는 비활성화하려고 노력했습니다익명 바인딩AD에 참여했지만 아직 그 방법을 찾지 못했습니다. 결과적으로 IP 주소와 LDAP 브라우저와 같은 프로그램만 사용하여 AD에 바인딩할 수 있습니다.
익명 바인딩을 비활성화하려면 어떻게 해야 합니까?
답변1
rootDSEActive Directory(Windows 2000 이전)는 기본적으로 검색 이외의 익명 작업을 허용하지 않습니다 . 따라서 익명으로 Active Directory에 바인딩할 수 있다면 이는 두 가지 중 하나를 의미합니다. 어느 하나
- 익명 바인딩이 가능한 RootDSE에 연결 중입니다.~해야 한다설계상 허용됩니다.
- root가 아닌DSE 작업에 대해 익명 바인딩을 허용하도록 Active Directory를 이미 수정했으며 이제 해당 구성을 되돌려야 합니다.
RootDSE에 대한 익명 바인딩해야한다허용되는 이유는 RootDSE는 대부분의 애플리케이션이 추가 바인딩을 완료하기 위해 다양한 파티션의 고유 이름 등과 같은 디렉터리에 대한 정보를 얻는 방법이기 때문입니다. RootDSE에는 민감한 정보가 포함되어 있지 않으며 RootDSE에 대한 익명 바인딩은 작동하도록 설계된 방식입니다. . 응용 프로그램이 RootDSE에 익명으로 바인딩할 수 없으면 문제가 발생합니다.
예를 들어 애플리케이션이 AD에 바인딩하기 위해 어떤 인증 메커니즘이 지원되는지 알고 싶어하는 경우 의 supportedSASLMechanisms속성 에서 해당 정보를 얻을 수 있지만 RootDSE물론 이는 인증이 발생하기 전에 수행되어야 합니다. 어떤 인증 메커니즘을 사용할 수 있는지조차 아직 모릅니다.
읽다:https://msdn.microsoft.com/en-us/library/ms677945(v=vs.85).aspx
이제 두 번째 경우에서는 RootDSE가 아닌 작업에 대해 AD에 대한 익명 바인딩을 활성화했다고 가정하고 dsHeuristics다음 디렉터리 개체에서 특성의 7번째 문자를 변경하여 이를 비활성화합니다.
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,Root domain in forest
dsHeuristics 속성의 유효한 값은 0과 2입니다. 기본적으로 dsHeuristics 속성은 존재하지 않지만 내부 기본값은 0입니다. 일곱 번째 문자를 2로 설정하면 익명 클라이언트가 액세스 제어에서 허용하는 모든 작업을 수행할 수 있습니다. 목록(ACL). 속성이 이미 설정된 경우 dsHeuristics 문자열에서 일곱 번째 비트 이외의 비트를 수정하지 마십시오. 값이 설정되지 않은 경우 최대 7번째 비트까지 선행 0을 제공해야 합니다. Adsiedit.msc를 사용하여 dsHeuristics 특성을 변경할 수 있습니다.
좀 더 명확히 하자면, 현재안 돼요RootDSE에 대한 익명 바인딩을 비활성화합니다. 이는 Active Directory에만 국한된 것이 아닙니다. 이는 LDAP v3 사양의 일부입니다.
읽다:https://technet.microsoft.com/en-us/library/cc755809%28v=ws.10%29.aspx