Bagikan melalui

Pengikatan Dengan Enkripsi

  • Artikel

Data sensitif yang ditukar melalui jaringan harus dienkripsi. Untuk mengizinkan hal ini, ADSI mendukung dua jenis enkripsi, Kerberos dan Secure Sockets Layer (SSL). Kedua jenis enkripsi memerlukan penggunaan ADsOpenObject atau IADsOpenDSObject::OpenDSObject untuk pengikatan.

GetObject dan ADsGetObject tidak dapat digunakan untuk pengikatan dalam kasus ini karena fungsi-fungsi ini menyebabkan permintaan LDAP yang digunakan oleh ADSI dan data yang dikembalikan dari server direktori untuk dikirimkan di seluruh jaringan sebagai teks biasa. Untuk tujuan penelusuran kesalahan, sangat membantu untuk menonaktifkan enkripsi sehingga Monitor Jaringan dapat digunakan untuk melihat permintaan dan data LDAP antara klien dan server direktori.

Enkripsi berbasis Kerberos

Untuk menggunakan enkripsi berbasis Kerberos, tentukan bendera ADS_USE_SEALING saat memanggil ADsOpenObject atau IADsOpenDSObject::OpenDSObject. Bendera ADS_USE_SEALING juga dapat digunakan untuk memverifikasi integritas data, yaitu, untuk memastikan data yang diterima sama dengan data yang dikirim. Jika bendera ADS_USE_SEALING ditentukan, bendera ADS_USE_SIGNING juga ditentukan secara otomatis. Kedua bendera memerlukan autentikasi Kerberos, yang hanya berfungsi dalam kondisi berikut:

  • Komputer klien harus masuk ke domain Windows, atau ke domain yang dipercaya oleh domain Windows.
  • ADsOpenObject atau IADsOpenDSObject::OpenDSObject harus dipanggil dengan kredensial null; artinya, kredensial alternatif tidak dapat ditentukan.

Enkripsi berbasis SSL

Untuk menggunakan enkripsi berbasis SSL, tentukan bendera ADS_USE_SSL saat memanggil ADsOpenObject atau IADsOpenDSObject::OpenDSObject. Jika hanya bendera ADS_USE_SSL yang ditentukan, ADSI membuka port SSL 636 lalu melakukan pengikatan sederhana di atas saluran SSL tersebut. Jika bendera ADS_SECURE_AUTHENTICATION dan ADS_USE_SSL ditentukan, perilaku pengikatan tergantung pada klien tempat panggilan dilakukan. Pada versi Windows yang tidak didukung, ADSI terlebih dahulu membuka saluran SSL dan melakukan pengikatan sederhana menggunakan nama pengguna dan kata sandi yang ditentukan atau konteks pengguna saat ini jika nama pengguna dan kata sandi null. Pada versi Windows yang didukung, ADSI melakukan autentikasi aman daripada ikatan sederhana.

Untuk menggunakan enkripsi berbasis SSL saat berkomunikasi dengan Active Directory, Direktori Aktif harus mengaktifkan Infrastruktur Kunci Umum (PKI). PKI dapat diaktifkan dengan menyiapkan otoritas sertifikasi perusahaan di salah satu server di Direktori Aktif, termasuk salah satu server Direktori Aktif itu sendiri. Menyiapkan otoritas sertifikasi perusahaan menyebabkan server Direktori Aktif mendapatkan sertifikat server yang kemudian dapat digunakan untuk melakukan enkripsi berbasis SSL.