من می خوام با استفاده از SSL به سرویس دهنده LDAP یک سرور Win2000 متصل بشم و اطلاعات ذخیره شده در Active Directory را بگیرم و بتونم تغییر بدهم می خواست ببینم آیا تنظیمات خاصی رو سرور لازمه یا نه؟ چون اتصال SSL با سرور LDAP برقرار نمی شه ولی اتصال عادی بر قرار میشه . در ادامه اینکه می خواستم ببینم windows کلید شخصی و عمومی کاربری رو که در حال استفاده از ویندوز هست رو کجا نگهداری میکنه و چطور میشه اون رو تغییر داد.

ویندوز 2000 برای نگاشت اطلاعات گواهی نامه یه Account های موجود ویندوز از Active Directory استفاده میکند. اعتبار سنجی سرویس گیرنده مستقیما گواهی نامه های کلید عمومی را در معماری امنیتی ویندوز 2000 گنجانده میشود. یعنی برای تعریف حقوق دستیابی مربوط به گواهی نامه های کلید عمومی : نیازی به پایگاه داده جداگانه نیست بلکه اطلاعات مربوط به گنترل دستیابی بخشی از اطلاعات مربوط به عضویت دز گروه هاسا که در Active Directory ذخیره میشود

الف. برای اتصال به اکتیور دایرکتوری نیازی به کاربرد SSL نیست مگر اینکه قرار باشه از طریق رابط مبتنی بر وب CA یک گواهی درخواست کنی . در بقیه موارد چون Kerberos بصورت پیش فرض فعال است احتیاج به سایر روشهای ایمن سازی نیست . اما برای رفع مشکلت باید بیشتر توضیح بدی .

ب. کلید عمومی PKI داخل رجیستری هر عضو شبکه نگهدای میشه و کلیدهای خصوصی کلیه افراد یا سایر موجودیتهای شبکه مانند پرینتر یا وب سرور و ... داخل بانک اطلاعاتی CA که عضوی از اکتیو دایرکتوری است نگهدای میشه . چون Integrity کلیدها توسط الگوریتهای درون ساختهء ویندوز دائما" بررسی میشه امکان تغییر کلید و برقراری ارتباط موفق وجود نداره .

خوش باشی

البته اگر دوست عزیز در شبکه خود ویندوز 9x داشته باشد به جای Kerbores سرویس LanManager , و اگر هم nix* یا Novell یا Mac داشته باشد که kerbores ویا اگر Windows NT XX داشته باشد NTLM. , و اگر هم MainFrame داشته باشه که SNA راه اندازی میشود(MainFrame ممون کجا بود)
PKI میکروسافت شامل اجزای زیر است:
1 : Active Directory : که شامل ذخیره سازی گواهی ها و لیست های ابطال گواهی ( CRL) است.
2 : سرویس های گواهی : که روی یک ماشین ویندوز 2000 نصب میشود تا به ان امکان دهد تا به عنوان یک CA عمل کند.

با سپاس بسیار از توجه شما واقعا ممنون. فکر کنم بهتر بیشتر توضیح بدم.
قضیه اینه که در نرم افزار ما برای تعیین هویت افراد باید اطلاعات کاربر ها از Active Dir گرفته بشه.نرم افزار با جاوا نوشته شده و برای اتصال و دریافت اطلاعات با Active Dir هم از JNDI استفاده کردم که با پروتکل LDAP به Active dir وصل میشه. در مورد Authentication و دریافت اطلاعات کاربری مشکلی نیست ولی برای تغییر کلمه رمز حتما باید اتصال به LDAP server به صورت SSL باشه ولی این اتصال بر قرار نمی شه.من برای ساختن کلید مشکلی ندارم و با CA هم کلنجار رفتم ولی نشد که نشد.
حالا یه سوال دیگه هم برای من پیش اومده و اون اینه که وقتی که ویندوز یک سوکت SSL ایجاد می کنه کلید میهمان را دقیقا از کجا می خونه که من هم برم کلید خودم را بگذارم اونجا و تو CA هم به عنوان مورد اعتماد ثبتش کنم.البته با این شرط که دستگاه من عضو domain هم نیست. :?:

الف. در ویندوز 2000 فقط اگر ویندوز سرور رو به CA سرور تبدیل کنی امکان ایجاد سوکتهای امن از طریق SSL فعال میشه . ( دقیقا" به این دلیل که در غیر حالت CA قرار بر این است که اعتبار سنجی بصورت داخلی صورت بگیره و اگر کانال امنی هم لازمه که باشه روی لایهء IP ایجاد بشه و رمزنگاری و رمزگشائی هم با کلیدهای داخلی مثلا" از طریق Kerberos مدیریت بشه اما وقتی قراره از بیرون دامنه به منبع داخلی یعنی بانک اطلاعاتی اکتیو دایرکتوری دسترسی ایجاد بشه تنها راه حل استفاده از SSL است ) . بعد از نصب و راه اندازی Certificate Authority میتونید از SSL روی پورت 633 ( مطمئن نیستم ) استفاده کنی .

ب. انتقال کلید پیرو پروتکل IKE است . تو نمیتونی خودت کلید تولید کنی و ثبتش کنی . اینکار باید توسط CA صورت بگیره .

موفق باشی

انتقال کلید پیرو پروتکل IKE است

اقا یه کم میشه توضیح بدید؟