Partilhar via

Vinculação com criptografia

  • Artigo

Os dados confidenciais trocados através de uma rede devem ser criptografados. Para permitir isso, o ADSI oferece suporte a dois tipos de criptografia, Kerberos e SSL (Secure Sockets Layer). Ambos os tipos de criptografia exigem o uso de ADsOpenObject ou IADsOpenDSObject::OpenDSObject para vinculação.

GetObject e ADsGetObject não podem ser usados para vinculação nesse caso porque essas funções fazem com que as solicitações LDAP usadas pelo ADSI e os dados retornados do servidor de diretório sejam transmitidos pela rede como texto sem formatação. Para fins de depuração, é útil desativar a criptografia para que o Monitor de Rede possa ser usado para exibir as solicitações LDAP e os dados entre o cliente e o servidor de diretório.

Criptografia baseada em Kerberos

Para usar a criptografia baseada em Kerberos, especifique o sinalizador ADS_USE_SEALING ao chamar ADsOpenObject ou IADsOpenDSObject::OpenDSObject. O sinalizador ADS_USE_SEALING também pode ser usado para verificar a integridade dos dados, ou seja, para garantir que os dados recebidos sejam os mesmos que os dados enviados. Se o sinalizador ADS_USE_SEALING for especificado, o sinalizador ADS_USE_SIGNING também será especificado automaticamente. Ambos os sinalizadores exigem autenticação Kerberos, que funciona somente sob as seguintes condições:

  • O computador cliente deve estar conectado ao domínio do Windows ou a um domínio confiável por um domínio do Windows.
  • ADsOpenObject ou IADsOpenDSObject::OpenDSObject devem ser chamados com credenciais nulas, ou seja, credenciais alternativas não podem ser especificadas.

Criptografia baseada em SSL

Para usar criptografia baseada em SSL, especifique o sinalizador ADS_USE_SSL ao chamar ADsOpenObject ou IADsOpenDSObject::OpenDSObject. Se apenas o sinalizador ADS_USE_SSL for especificado, o ADSI abrirá a porta SSL 636 e, em seguida, executará uma associação simples nesse canal SSL. Se os sinalizadores ADS_SECURE_AUTHENTICATION e ADS_USE_SSL forem especificados, o comportamento de associação dependerá do cliente do qual a chamada é feita. Em versões sem suporte do Windows, o ADSI primeiro abriu um canal SSL e executa uma associação simples usando o nome de usuário e a senha especificados ou o contexto de usuário atual se o nome de usuário e a senha forem nulos. Em versões com suporte do Windows, o ADSI executa uma autenticação segura em vez de uma simples ligação.

Para usar a criptografia baseada em SSL durante a comunicação com o Active Directory, o Active Directory deve ter habilitado a PKI (Infraestrutura de Chave Pública). A PKI pode ser habilitada configurando uma autoridade de certificação corporativa em um dos servidores no Active Directory, incluindo um dos próprios servidores do Active Directory. A configuração de uma autoridade de certificação corporativa faz com que um servidor do Active Directory obtenha um certificado de servidor que pode ser usado para fazer criptografia baseada em SSL.