none
EInschränkung LDAP per 2020 was ist zu tun? RRS feed

  • Frage

  • Hallo zusammen

    durch einen Kollegen bin ich über folgenden Artikel bei Microsoft gestossen (LINK). Dieser beschreibt das ab Januar 2020 das einfache LDAP "abgeschaltet" wird.

    Ich habe dazu folgende weitere Artikel gefunden welche für andere unwissende vielleicht interessant sind (falls es die hier gibt):

    • https://blogs.technet.microsoft.com/askds/2009/09/21/understanding-LDAP-security-processing/
    • https://blogs.technet.microsoft.com/russellt/2016/01/13/identifying-clear-text-LDAP-binds-to-your-dcs/

    Einfach gesagt muss alles was bisher LDAP ist auf LDAPs umgestellt werden oder?
    LDAPs wird via DC-Zertifikat aufgebaut, sprich der der LDAP-Client braucht dazu kein Zertifikat.


    Gibt es allenfalls irgendwo eine Übersicht wie LDAPs genau abläuft? Was muss sonst noch beachtet werden. Ein Test auf den DC's mittels ldp.exe zeigt das LDAPs bereits funktioniert aber die Applikations-Admins nutzen es wohl nicht. Es gibt eine GPO auf den DC's aber, gibt's auch eine für Memberserver? So könnte man von dort her starten bis man alle bereinigt hat.

    Ich hoffe ich habe das ganze richtig verstanden was da auf uns zukommen wird, sonst bitte "aufklären" ;-)

    Grüsse

    Florian Winkelried


    Dienstag, 8. Oktober 2019 09:15

Antworten

  • > Einfach gesagt muss alles was bisher LDAP ist auf LDAPs umgestellt werden oder?

    Nein. Nur "Simple Bind" auf 389 geht nicht mehr, weil dabei Kennwörter im Klartext übertragen werden.

    > LDAPs wird via DC-Zertifikat aufgebaut, sprich der der LDAP-Client braucht dazu kein Zertifikat oder?

    Jein. Er braucht kein eigenes Zertifikat, aber die CA-Kette des Serverzertifikats muß auf dem Client komplett vorhanden sein.

    > Gibt es irgendwo eine Übersicht wie LDAPs genau abläuft?

    Naja, wie SSL und LDAP nacheinander quasi :-) Erst SSL-Handshake, dann LDAP Bind (Simple oder andere). Über SSL ist der Simple Bind weiterhin zulässig, weil der im SSL-Tunnel verschlüsselt ist.


    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Donnerstag, 10. Oktober 2019 12:13