Tenemos que configurar una autenticación central para el cumplimiento de PCI y me pregunto si está bien permitir el enlace anónimo o ¿debo crear un usuario para hacer el enlace de los servicios que necesitan ldap?
Permitir el enlace anónimo puede permitir que un host no autorizado realice intentos de autenticación si tiene acceso al puerto LDAP. Esto realmente solo abre un vector de ataque de fuerza bruta, que debe ser mitigado por los requisitos de bloqueo de la cuenta de PCI DSS 8.5 .13 y 8.5.14. Además, es probable que pueda documentar la segmentación de la red para mostrar que solo las redes relativamente confiables tienen el acceso requerido para aprovechar LDAP. Debería poder demostrar que sus PCI DSS 10.2.5 son suficientes para detectar un intento de uso incorrecto de la autenticación LDAP canal. Por supuesto, debe usar LDAPS (LDAP sobre SSL, 636 / tcp) en lugar de LDAP (LDAP sin cifrar, 389 / tcp) para cumplir con DSI PCI 8.4.
Teniendo en cuenta esas cuatro mitigaciones, probablemente pueda hacer un buen caso para el enlace anónimo. Francamente, la alternativa es tener que almacenar y proteger las credenciales de enlace en todos sus puntos finales, lo que en mi opinión es más un problema que un enlace anónimo.
Como con todas las cosas, su QSA puede estar en desacuerdo, y eso es a lo que tiene que convencer. La documentación de los controles y el razonamiento detrás de su decisión deberían ayudar.