¿Para qué utiliza un controlador de dominio (DC) un certificado?

12

Todos hablan de controladores de dominio y de que deberían tener un certificado instalado, pero al final del día es opcional. Una vez instalado, ¿qué hace uso de ese certificado? Entiendo que al menos es necesario para:

  • Autenticación de tarjeta inteligente
  • LDAPS

Sin embargo, ¿estoy buscando saber si hay acciones nativas específicas de DC o Active Directory donde el controlador de dominio hace uso del certificado?

Soy consciente de las implicaciones de seguridad / buenas prácticas aquí :) Solo estoy interesado en la mecánica en juego.

Ben Short
fuente

Respuestas:

14

La replicación entre controladores de dominio seguirá teniendo lugar a través de RPC, incluso después de instalar certificados SSL. La carga útil está encriptada, pero no con SSL.

Si usa la replicación SMTP, esa replicación se puede cifrar con el certificado SSL del controlador de dominio ... pero espero que nadie esté usando la replicación SMTP en 2017.

LDAPS es como LDAP, pero a través de SSL / TLS, utilizando el certificado del controlador de dominio. Pero los miembros normales del dominio de Windows no comenzarán a usar LDAPS automáticamente para cosas como DC Locator o unirse al dominio. Seguirán utilizando simplemente cLDAP y LDAP.

Una de las principales formas en que usamos LDAPS es para servicios de terceros o sistemas no unidos a un dominio que necesitan una forma segura de consultar el controlador de dominio. Con LDAPS, esos sistemas aún pueden beneficiarse de las comunicaciones encriptadas, incluso si no están unidas al dominio. (Piense en concentradores VPN, enrutadores Wifi, sistemas Linux, etc.)

Pero los clientes de Windows unidos al dominio ya tienen firma y sellado SASL y Kerberos, que ya está cifrado y es bastante seguro. Entonces seguirán usando eso.

Los clientes de tarjetas inteligentes utilizan el certificado SSL del controlador de dominio cuando se activa la validación estricta de KDC . Es solo una medida adicional de protección para que los clientes de tarjetas inteligentes puedan verificar que el KDC con el que están hablando es legítimo.

Los controladores de dominio también podrían usar sus certificados para la comunicación IPsec, ya sea entre ellos o con los servidores miembros.

Eso es todo lo que puedo pensar en este momento.

Ryan Ries
fuente
Gracias Ryan, esa es buena información, y está de acuerdo con mucho de lo que he leído. Estaba particularmente interesado en el bit de replicación de DC que respondiste. Gran respuesta :)
Ben Short
¿Es "RADIUS con opciones de protocolo modernas", por ejemplo, para la autenticación inalámbrica corporativa, un tema para esta pregunta? Es un papel comúnmente añadido a los controladores de dominio, pero no podría decirse que la funcionalidad del núcleo ... Es un ejemplo interesante porque certificados apropiados importa realmente en esa aplicación ...
rackandboneman
@rackandboneman Sí, y esa es la misma idea que buscaba al mencionar el uso de certificados SSL por parte de los concentradores / dispositivos VPN.
Ryan Ries