Доброго времени суток!
По требованиям ИБ необходимо, чтобы в ПО использовался защищенный протокол HTTPS и доменная авторизация/сквозная авторизация через защищенный протокол LDAPS.
На данный момент реализована доменная авторизация, но через незащищенный протокол LDAP. И нет возможности использовать и HTTPS и доменную авторизацию LDAPS.
Прошу рассмотреть возможность реализации:
У нас реализована установка защищенного канала с LDAP сервером через STARTTLS. На данный момент такой подход рекомендуется как предпочтительный при работе с LDAP серверами.
Я вижу тут какую-то путаницу. LDAP(S) это не протокол авторизации. Это протокол, который позволяет получить информацию об уже авторизованном пользователе. Авторизацией занимается протокол kerberos, или NTLM.
Если вы говорите о запросе данных к директории, то @ushakov уже указал, что если ваш LDAP сервер поддерживает функцию Start TLS, то протокол будет заменён автоматическию.
Одновременно использовать https и доменную авторизацию возможно, но только если вы включите https напрямую на сервере ЛЭРС УЧЁТ. Для этого нужно будет указать пути к сертификатам в файле appsettings.json. Вы можете создать файл C:\Program Files\LERS\Server\appsettings.Production.json и сделать настройки в нём. Этот файл не изменяется при обновлении и все настройки останутся в нём.
Здесь описано как настроить https напрямую на сервере ЛЭРС. Вам нужно будет указать путь к файлу сертификата и закрытому ключу. Или путь к PFX и его пароль. Всё зависит от того как вы получаете сертификат. Если у вас автоматически обновляемый сертификат от let’s encrypt, укажите путь к нему. После обновления он будет “на лету” подхвачен сервером ЛЭРС, перезапуск не потребуется.
Если вы скажете в каком виде вы получили ваш сертификат, я подскажу какие настройки нужно будет сделать в appsettings.Production.json