ActiveDirectoryを使用したLDAPover SSLの重要性はどれくらいですか？

SSLを使用しないことで直面しているリスクについて知っておくべきこと

ドメインメンバーによるリクエストはSASLを使用します（以下を参照してください： このドキュメントのLDAPセキュリティモデルセクション ）

SALSを使用できるドメインメンバーまたはクライアントからの要求は傍受される可能性があります。内部的には、ネットワークが切り替えられており、物理インフラストラクチャを適切に制御している可能性があるため、これはそれほど大きな問題ではない可能性があります。

インターネット上の数百万のガイドの1つに従ってSSLを有効にすると、現在のサービスが中断されますか？または、それを実行でき、クライアントマシンにSSLを自動的に使用するように通知されますか？

現在のサービスを中断してはなりません。一部のクライアント（Dell LOMなど）は、SSLポートが現在機能していて、SSLを有効にする場合は、SSLポートを使用するように構成する必要があります。 Windowsサーバー/ワークステーションで何もする必要はありません。

Domain.localとして単一のドメインを実行している2つのDCがあります。これは「内部」TLDであるため、サードパーティではなく内部CAを使用してこれを設定する必要があると思いますか？

どちらでもかまいません。自己署名証明書を使用することもできます。一部のクライアントはこれを自己署名証明書が気に入らないでしょうが、Dracはおそらく自己署名証明書で問題ありません。

エンタープライズCAのセットアップは比較的簡単ですが、この目的のためだけに実際にはbox/vm上に配置する必要があります。予備のWindowsライセンスを買う余裕はありますか？

OpenSSL CAを実行することもできます。USBフラッシュドライブから実行することもできます 非常に簡単に 。 Linuxに精通している場合は、tinycaを実行するUbuntu box/vm/usbデバイスのセットアップに数時間しかかかりません。

＃1の答えに基づいて、SSLを使用しない方が安全だと思いますか？ sslへの変換に伴う労力に対する利益の比率はどのくらいだと思いますか？

• 物理インフラストラクチャを信頼できない場合は、SSLを有効にする必要があります。
• サーバーの数が非常に少ない場合は、努力する価値がない可能性があります。
• LDAPを暗号化するためにipsecまたはVPNを使用してリスクを軽減できる場合があります。
• Evanがコメントで述べたように、DRAC LOMは基本的に物理アクセスを提供しているため、MITMから保護するためにSSLの設定を強く検討する必要があります。