Associazione con crittografia
I dati sensibili scambiati tramite una rete devono essere crittografati. A tale scopo, ADSI supporta due tipi di crittografia, Kerberos e Secure Sockets Layer (SSL). Entrambi i tipi di crittografia richiedono l'uso di ADsOpenObject o IADsOpenDSObject::OpenDSObject per l'associazione.
Non è possibile usare GetObject e ADsGetObject per l'associazione in questo caso perché queste funzioni causano le richieste LDAP usate da ADSI e i dati restituiti dal server di directory per trasmettere attraverso la rete come testo non crittografato. Ai fini del debug, è utile disattivare la crittografia in modo che Monitoraggio di rete possa essere usato per visualizzare le richieste LDAP e i dati tra il client e il server di directory.
Crittografia basata su Kerberos
Per usare la crittografia basata su Kerberos, specificare il flag ADS_Uedizione Standard_edizione Standard ALING quando si chiama ADsOpenObject o IADsOpenDSObject::OpenDSObject. Il flag ADS_Uedizione Standard_edizione Standard ALING può essere usato anche per verificare l'integrità dei dati, ovvero per garantire che i dati ricevuti corrispondano ai dati inviati. Se viene specificato il flag ADS_Uedizione Standard_edizione Standard ALING, viene specificato automaticamente anche il flag ADS_Uedizione Standard_SIGNING. Entrambi i flag richiedono l'autenticazione Kerberos, che funziona solo nelle condizioni seguenti:
- Il computer client deve essere connesso al dominio Windows o a un dominio attendibile da un dominio Windows.
- È necessario chiamare ADsOpenObject o IADsOpenDSObject::OpenDSObject con credenziali Null, ovvero non è possibile specificare credenziali alternative.
Crittografia basata su SSL
Per usare la crittografia basata su SSL, specificare il flag ADS_Uedizione Standard_SSL quando si chiama ADsOpenObject o IADsOpenDSObject::OpenDSObject. Se viene specificato solo il flag ADS_Uedizione Standard_SSL, ADSI apre la porta SSL 636 e quindi esegue un binding semplice su tale canale SSL. Se vengono specificati entrambi i flag ADS_edizione StandardCURE_AUTHENTICATION e ADS_Uedizione Standard_SSL, il comportamento di associazione dipende dal client da cui viene eseguita la chiamata. Nelle versioni non supportate di Windows, ADSI ha aperto prima un canale SSL ed esegue un'associazione semplice usando il nome utente e la password specificati o il contesto utente corrente se il nome utente e la password sono Null. Nelle versioni supportate di Windows, ADSI esegue un'autenticazione sicura anziché un'associazione semplice.
Per usare la crittografia basata su SSL durante la comunicazione con Active Directory, Active Directory deve avere abilitato l'infrastruttura a chiave pubblica (PKI). L'infrastruttura a chiave pubblica può essere abilitata configurando un'autorità di certificazione aziendale in uno dei server di Active Directory, incluso uno dei server Active Directory stesso. La configurazione di un'autorità di certificazione aziendale fa sì che un server Active Directory ottenga un certificato server che può quindi essere usato per eseguire la crittografia basata su SSL.