Enlace con cifrado
Se deben cifrar los datos confidenciales intercambiados a través de una red. Para permitir esto, ADSI admite dos tipos de cifrado, Kerberos y Capa de sockets seguros (SSL). Ambos tipos de cifrado requieren el uso de ADsOpenObject o IADsOpenDSObject::OpenDSObject para el enlace.
GetObject y ADsGetObject no se pueden usar para enlazar en este caso porque estas funciones hacen que las solicitudes LDAP usadas por ADSI y los datos devueltos por el servidor de directorios se transmitan a través de la red como texto no cifrado. Con fines de depuración, resulta útil desactivar el cifrado para que el Monitor de red se pueda usar para ver las solicitudes LDAP y los datos entre el cliente y el servidor de directorios.
Cifrado basado en Kerberos
Para usar el cifrado basado en Kerberos, especifique la marca ADS_USE_SEALING al llamar a ADsOpenObject o IADsOpenDSObject::OpenDSObject. La marca ADS_USE_SEALING también se puede usar para comprobar la integridad de los datos, es decir, para asegurarse de que los datos recibidos son los mismos que los enviados. Si se especifica la marca ADS_USE_SEALING , también se especifica automáticamente la marca ADS_USE_SIGNING . Ambas marcas requieren autenticación Kerberos, que solo funciona en las condiciones siguientes:
- El equipo cliente debe iniciar sesión en el dominio de Windows o en un dominio de confianza para un dominio de Windows.
- Se debe llamar a ADsOpenObject o IADsOpenDSObject::OpenDSObject con credenciales nulas; es decir, no se pueden especificar credenciales alternativas.
Cifrado basado en SSL
Para usar el cifrado basado en SSL, especifique la marca ADS_USE_SSL al llamar a ADsOpenObject o IADsOpenDSObject::OpenDSObject. Si solo se especifica la marca de ADS_USE_SSL , ADSI abre el puerto SSL 636 y, a continuación, realiza un enlace simple a través de ese canal SSL. Si se especifican las marcas de ADS_SECURE_AUTHENTICATION y ADS_USE_SSL , el comportamiento de enlace depende del cliente desde el que se realiza la llamada. En versiones no admitidas de Windows, ADSI abrió primero un canal SSL y realiza un enlace sencillo mediante el nombre de usuario y la contraseña especificados o el contexto de usuario actual si el nombre de usuario y la contraseña son null. En las versiones compatibles de Windows, ADSI realiza una autenticación segura en lugar de un enlace simple.
Para usar el cifrado basado en SSL mientras se comunica con Active Directory, Active Directory debe tener habilitada la infraestructura de clave pública (PKI). PKI se puede habilitar configurando una entidad de certificación empresarial en uno de los servidores de Active Directory, incluidos uno de los propios servidores de Active Directory. La configuración de una entidad de certificación empresarial hace que un servidor de Active Directory obtenga un certificado de servidor que se pueda usar para realizar el cifrado basado en SSL.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de