証明書なしでLdapsearchに成功してしまう

前提・実現したいこと

WindowsServer2016でActiveDirectoryと証明機関を構築しましたが、Linux上からLdapsearchを行った際に証明書なしでも要求が通ってしまいます。
原因についてヒントでも構いませんのでアドバイスを頂ければと思います。

発生している問題・エラーメッセージ

・ADサーバは簡易バインドを拒否設定済み
・Ldapsearchコマンドは下記のようなコマンドで実行
ldapsearch -LLL -x -H 'ldaps://ホスト名:636' -b 'バインドDN' -D 'バインドユーザ' -w 'パスワード'

試したこと

・Javaの簡単なプログラムから、JNDIを使用したバインドを行おうとするとSSLHandshakeExceptionが発生し、想定の動作となります。
・AD側のキャッシュログオンを禁止した
・クライアントのIPを変更してみた

行動規範の内容に同意します

回答1件

恐らく読み取りだけであれば証明書なくてもいけるかも。
書き込みが必要な場合は証明書が必要かと。

投稿2019/12/05 12:19

over

総合スコア4315

m.dai

2019/12/06 00:20

ご回答ありがとうございます。状況から推測する予想ですが、一度証明書のやり取りを行ったことのあるクライアントに対しては、その後クライアントで証明書を削除してもサーバ側で記憶しているかもしれません。検証の為、新しい環境を構築し確認しましたが、一度も証明書を使ってない環境ではLdapsearchに失敗するようです。

行動規範の内容に同意します