Partager via

Liaison avec chiffrement

  • Article

Les données sensibles échangées sur un réseau doivent être chiffrées. Pour ce faire, ADSI prend en charge deux types de chiffrement, Kerberos et SSL (Secure Sockets Layer). Les deux types de chiffrement nécessitent l’utilisation d’ADsOpenObject ou d’IADsOpenDSObject::OpenDSObject pour la liaison.

GetObject et ADsGetObject ne peuvent pas être utilisés pour la liaison dans ce cas, car ces fonctions entraînent la transmission en texte en clair des requêtes LDAP utilisées par ADSI et des données retournées par le serveur d’annuaire sur le réseau. À des fins de débogage, il est utile de désactiver le chiffrement afin que le Moniteur réseau puisse être utilisé pour afficher les demandes et les données LDAP entre le client et le serveur d’annuaire.

Chiffrement kerberos

Pour utiliser le chiffrement Kerberos, spécifiez l’indicateur ADS_USE_SEALING lors de l’appel de ADsOpenObject ou IADsOpenDSObject::OpenDSObject. L’indicateur ADS_USE_SEALING peut également être utilisé pour vérifier l’intégrité des données, c’est-à-dire pour s’assurer que les données reçues sont identiques aux données envoyées. Si l’indicateur ADS_USE_SEALING est spécifié, l’indicateur ADS_USE_SIGNING est également automatiquement spécifié. Les deux indicateurs nécessitent une authentification Kerberos, qui fonctionne uniquement dans les conditions suivantes :

  • L’ordinateur client doit être connecté au domaine Windows ou à un domaine approuvé par un domaine Windows.
  • ADsOpenObject ou IADsOpenDSObject::OpenDSObject doit être appelé avec des informations d’identification null ; Autrement dit, d’autres informations d’identification ne peuvent pas être spécifiées.

Chiffrement basé sur SSL

Pour utiliser le chiffrement ssl, spécifiez l’indicateur ADS_USE_SSL lors de l’appel de ADsOpenObject ou IADsOpenDSObject::OpenDSObject. Si seul l’indicateur ADS_USE_SSL est spécifié, ADSI ouvre le port SSL 636, puis effectue une liaison simple sur ce canal SSL. Si les indicateurs ADS_SECURE_AUTHENTICATION et ADS_USE_SSL sont spécifiés, le comportement de liaison dépend du client à partir duquel l’appel est effectué. Sur les versions non prises en charge de Windows, ADSI a d’abord ouvert un canal SSL et effectue une liaison simple à l’aide du nom d’utilisateur et du mot de passe spécifiés ou du contexte utilisateur actuel si le nom d’utilisateur et le mot de passe sont tous deux null. Sur les versions prises en charge de Windows, ADSI effectue une authentification sécurisée plutôt qu’une simple liaison.

Pour utiliser le chiffrement ssl lors de la communication avec Active Directory, Active Directory doit avoir activé l’infrastructure à clé publique (PKI). L’infrastructure à clé publique peut être activée en configurant une autorité de certification d’entreprise sur l’un des serveurs dans Active Directory, y compris l’un des serveurs Active Directory proprement dits. La configuration d’une autorité de certification d’entreprise amène un serveur Active Directory à obtenir un certificat de serveur qui peut ensuite être utilisé pour effectuer un chiffrement ssl.