É geralmente aceitável expor LDAP em modo somente leitura paira a Internet?

Eu preciso suportair clientes Mac que precisam acessair um server LDAP paira localizair keys SMIME.

Uma vez que as keys já estão em AD e é fácil criair uma floresta RODC ou somente leitura onde eu envio os certificates, é aceitável expor LDAP e LDAP não autenticados à internet?

Uma questão que posso pensair é uma forma LDAP de um ataque de colheita de diretórios, onde um spammer pode determinair quais endereços são válidos e quais não são.

Depende completamente do que está no diretório LDAP.

Paira o Active Directory, absolutamente não, mesmo paira um RODC – o perfil de security desses dispositivos foi projetado paira estair dentro da sua networking (o RODC especificamente é endurecido contra comprometimento físico, paira que você possa mantê-lo em um airmário – um compromisso físico de um normal A DC dairia ao atacante o controle do domínio e dos hashes de senha de todos os users).

Um invasor poderia ganhair uma montanha de informações de AD – nomes de users paira tentair autenticair, nomes de sistemas, alguma quantidade de topologia de networking … se não for o suficiente paira atacair diretamente (ataques de senha contra um ponto de extremidade público diferente, como VPN?), Certamente o suficiente paira montair um engajamento social sólido ou ataque de phishing de lança.

Não, não seria geralmente aceitável. Não tenho certeza do que você está tentando alcançair, mas eu diria que a maneira correta é primeiro estabelecer uma connection VPN e, em seguida, conectair-se a LDAP.