Tipps und Tricks zu LDAP

Das Active Directory unterstützt LDAP als Zugriffsprotokoll, wie unter anderem an der ADSI-Programmierung deutlich wird. Der Artikel stellt ein paar Tipps zur LDAPFunktionalität des Active Directory vor.

RootDSE

Sowohl bei der Programmierung mit ADSI als auch bei Zugriffen über Tools wie ldp.exe stößt man immer wieder auf die Bezeichnung RootDSE. Dabei handelt es sich um die zentralen Einträge zu einem Verzeichnis, wobei DSE für Directory Service Entry steht. Dort gibt es eine Reihe grundlegender Informationen zu einem Verzeichnisdienst wie den Kontext für die Speicherung von Konfigurationsinformationen, aber auch Versionsinformationen zu dem Verzeichnisdienst und andere Daten.

Da die Informationen bei RootDSE einige Rückschlüsse auf das verwendete System und dessen Konfiguration zulassen, sollte man beispielsweise durch eine geeignete Firewall-Konfiguration sicherstellen, dass möglichst wenige Benutzer diese Information anfordern können.

LDAP mit externen Zertifikaten

LDAP sollte möglichst mit SSL eingesetzt werden. Um einen LDAP-Server mit einem Zertifikat einer externen CA zu betreiben, muss dieses zunächst installiert werden. Das Zertifikat muss den Einsatzbereich mit einem LDAP-Server auf Windows-Basis abdecken. Die verschiedenen Konfigurationsschritte einschließlich der detaillierten Beschreibung des Formats für die Zertifikatsanforderung sind im Artikel 321051 der Knowledge Base von Microsoft beschrieben.