在多个AD域控制器上启用ldaps
我的目标是在ovirt4上启用AD auth。它需要在我的AD上使用ldaps。 我发现了很多说明,说明如何使用自签名证书(例如https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-third-party-certification-authority)在ssl上启用ldap,但它们都描述了单个域控制器的情况。 我该如何处理两个域控制器的情况?我应该在每台机器上创建证书还是创建通配证书是合理的?在多个AD域控制器上启用ldaps
是的,您需要在两台机器上创建SSL证书。两个域控制器都需要SSL证书,因为如果您连接到域名而不是特定的域控制器主机名,则可以对任一域控制器进行全面升级,因此您需要在两者上都需要证书。避免使用通配符证书,除非您处于实验室场景中,在PKI领域这些被认为是一项重大的安全风险。而且,通配符证书对于域控制器也是不可行的,因为域控制器的Active Directory完全限定域名(例如DC01.DOMAIN.COM)必须出现在以下位置之一的SSL证书中:
- 主题字段中的通用名称(CN)。
- 主题备用名称扩展中的DNS条目。
有关更多详细信息,请参阅MS KB51。
非常感谢!有用! – TokiW
正如我们已经回答您的问题,请将其标记为会将其验证给社区中的其他人;否则,请告诉我们,如果有的话。 –
有人回答了你的问题,你回信“非常感谢!它的工作!”。你为什么不点击灰色复选标记接受答案?当答案对你有用时,你应该以这种方式承认回答者,否则人们可能会对你不满。只是我的两分钱.... –