none
Problem Authentizierung über AD RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe ein Problem:

    Wir haben für unseren Zugang von Außen (Fernwartung, etc.) einen Astaro-Server. Der ist an die AD angebunden. Authentifizierung erfolgt über die AD mit SSO. Seit heute klappt des nicht mehr.

    Wir haben 2 Win2008R2 und einen Win2003 DomainController. Das ganze läuft schon seit ca. 2 Jahren problemlos.

    Der Zugriff von Astaro auf die AD läuft über SSL, Port 636.

    Kann es sein, dass ich eine Authentizierungsmodus abgeschaltet habe, den das Programm benutzt? Mir ist zwar nichts bewußt, aber man kann ja nie wissen. Wo kann ich im AD nachschauen, über welche Mechanismen  eine Anmeldung möglich ist?

    Würde mich freuen, wenn jemand einen Tip hätte, wo ich suchen könnte.

     

    Danke,

    René Hubert

    Systemadministrator

    DRK KH Lichtenstein gGmbH

     

     

     

    Dienstag, 12. April 2011 18:43
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    * Hubi (Tue, 12 Apr 2011 18:43:25 +0000)

    Wir haben für unseren Zugang von Außen (Fernwartung, etc.) einen
    Astaro-Server. Der ist an die AD angebunden. Authentifizierung erfolgt
    über die AD mit SSO. Seit heute klappt des nicht mehr.

    Aha. Fehlermeldung?

    Der Zugriff von Astaro auf die AD läuft über SSL, Port 636.

    Der SSL-Port ist 389 und 636 seit spätestens 2003 nicht mehr empfohlen.

    Kann es sein, dass ich eine Authentizierungsmodus abgeschaltet habe,
    den das Programm benutzt? Mir ist zwar nichts bewußt, aber man kann ja
    nie wissen. Wo kann ich im AD nachschauen, über welche Mechanismen 
    eine Anmeldung möglich ist?

    Würde mich freuen, wenn jemand einen Tip hätte, wo ich suchen könnte.

    Warum gehst du nicht systematisch vor? Fehlermeldung, Logdateien, verbose Modus, Netzwerk-Trace, etc.

    Thorsten

    Mittwoch, 13. April 2011 07:58
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Thorsten,

     

    hab grad die ganzen Logs auf dem DomainController durchgeschaut. Ich finde nur keine Einträge zu der Uhrzeit, wo ichs heut Früh probiert habe.

    Was ich jedoch gefunden habe, ist eine regelmäßige Meldung, die seit einigen Tagen erscheint und die wie folgt lautet:

     

    "Ereignis 1219, ActiveDirectory_DomainService

    Die Active Directory-Domänendienste konnten die Authentifizierung einfacher Bindungen nicht initialisieren.

     

    Daher wird bei der Authentifizierung einfacher Bindungen für diese LDAP-Schnittstelle eine Bindung als nicht authentifizierter Benutzer hergestellt."

     

    Wo kann ich das kontrollieren/einstellen?

     

    Mittwoch, 13. April 2011 10:06
    |
  • Question
    Anmelden
    0
    Anmelden

    * Hubi (Wed, 13 Apr 2011 10:06:17 +0000)

    hab grad die ganzen Logs auf dem DomainController durchgeschaut. Ich finde nur keine Einträge zu der Uhrzeit, wo ichs heut Früh probiert habe.

    Was ich jedoch gefunden habe, ist eine regelmäßige Meldung, die seit einigen Tagen erscheint und die wie folgt lautet:

    "Ereignis 1219, ActiveDirectory_DomainService

    Die Active Directory-Domänendienste konnten die Authentifizierung einfacher Bindungen nicht initialisieren.
     

    Daher wird bei der Authentifizierung einfacher Bindungen für diese LDAP-Schnittstelle eine Bindung als nicht authentifizierter Benutzer hergestellt."

    Wo kann ich das kontrollieren/einstellen?

    Mit jedem LDAP-Client kannst du kontrollieren, ob du dich per LDAP mit Kennwort anmelden kannst. Ein simple bind ist eine Authentifizierung mit Kennwort. <http://eventid.net/display.asp?eventid=1219&eventno=6104
    &source=NTDS%20LAP&phase=1> koennte interessant sein.

    Thorsten

    Mittwoch, 13. April 2011 10:19
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich habe mir jetzt den Softterra LDAP-Browser installiert. Dort kann ich mich mit dem AD verbinden, sowohl mit Port 389 als auch mit 636.

    Das scheint soweit zu funktionieren. Trotzdem stört mich der Fehler 1219. Kann man das irgendwie wegbekommen?

     

    René

    Mittwoch, 13. April 2011 13:24
    |
  • Question
    Anmelden
    0
    Anmelden

    * Hubi (Wed, 13 Apr 2011 13:24:29 +0000)

    Ich habe mir jetzt den Softterra LDAP-Browser installiert. Dort kann
    ich mich mit dem AD verbinden, sowohl mit Port 389 als auch mit 636.

    Das ist interessant. Softerra LDAP Browser kann nämlich per Default gar kein SSL (http://www.ldapadministrator.com/forum/viewtopic.php?t=15)

    Das scheint soweit zu funktionieren. Trotzdem stört mich der Fehler
    1219. Kann man das irgendwie wegbekommen?

    Das war in dem Link, den ich geschrieben habe. Schon versucht?!

    Thorsten

    Mittwoch, 13. April 2011 14:36
    |
  • Question
    Anmelden
    0
    Anmelden

    Sorry, hatte ich vergessen, den Link hab ich ausprobiert, hat aber keine Änderung gebracht.

    Zum LDAP-Browser (akt. 4.5), da kann man zumindest SSL anhäkeln, da geh ich mal von aus, dass er das dann auch macht. Hab 2 Verbindungen angelegt, eine normal über 389 und eine wie die Astaro über SSL und 636 mit einfacher Anmeldung. Alles ok.

     

    Hab noch das im Astaro-Forum gefunden:

    Windows Server 2008, Windows Server 2003, Windows XP, and Windows 2000: If you configure the LMCompatibilityLevel value to be 0 or 1 and then configure the NoLMHash value to be 1, applications and components may be denied access through NTLM. This issue occurs because the computer is configured to enable LM but not to use LM-stored passwords.

    If you configure the NoLMHash value to be 1, you must configure the LMCompatibilityLevel value to be 2 or higher.


    11. Network security: LDAP client signing requirements

    a. Background

    The Network security: LDAP client signing requirements setting determines the level of data signing that is requested on behalf of clients that issue Lightweight Directory Access Protocol (LDAP) BIND requests as follows: " None: The LDAP BIND request is issued with the caller-specified options.
    " Negotiate signing: If the Secure Sockets Layer/Transport Layer Security (SSL/TLS) has not been started, the LDAP BIND request is initiated with the LDAP data signing option set in addition to the caller-specified options. If SSL/TLS has been started, the LDAP BIND request is initiated with the caller-specified options.
    " Require signing: This is the same as Negotiate signing. However, if the LDAP server's intermediate saslBindInProgress response does not indicate that LDAP traffic signing is required, the caller is told that the LDAP BIND command request failed.

    b. Risky configuration

    Enabling the Network security: LDAP client signing requirements setting is a risky configuration. If you set the server to require LDAP signatures, you must also configure LDAP signing on the client. Not configuring the client to use LDAP signatures will prevent communication with the server; this will cause user authentication, Group Policy settings, logon scripts, and other features to fail.
    c. Reasons to Modify This Setting

    Unsigned network traffic is susceptible to man-in-the-middle attacks where an intruder captures packets between the client and the servers, modifies them, and then forwards them to the server. When this occurs on an LDAP server, an attacker could cause a server to respond based on false queries from the LDAP client. You can lower this risk in a corporate network by implementing strong physical security measures to help protect the network infrastructure. Additionally, all kinds of man-in-the-middle attacks can be made extremely difficult by requiring digital signatures on all network packets by means of IPSec authentication headers.
    d. Symbolic Name:

    LDAPClientIntegrity
    e. Registry Path:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity

    Stammt von MS, ich werd aber nicht so richtig schlau draus.

    Bei mir gibt es nur den Schlüssel LDAPClientIntegrity mit Wert 1. An welcher Stelle der GPO wird das eingestellt?

    René

    Nachtrag:

    Wenn ich LDP starte kann ich über 389 und 636 eine Verbindung zum AD herstellen. Versuche ich aber eine Anmeldung (Remotedesktopverbindung > Gebunden) kommt beim Versuch über "Einfache Anmeldung" die Meldung:

    res = ldap_simple_bind_s(ld, 'hubert', <unavailable>); // v.3

    Authenticated as: 'NT-AUTORITÄT\ANONYMOUS-ANMELDUNG'.

    Ich vermute, dass Astaro das verwendet. Daher die EventID 1219. Wie kann ich die "Einfache Bindung" wieder einschalten?

     

    Nachtrag2:

    Bevor die Frage kommt, ob es am Astaro liegen könnte:

    • Wir haben das neu aufgesetzt.
    • Wir haben 2 Domänen in einer Gesamtstruktur. Benutzer der anderen Domain können sich von außen einloggen (über ihren DC).
    • Ich habe die Logprotokolle von Astaro gestern Abend zurückverfolgt: Das erste Auftreten des Fehlers liegt ca. 2 Monate zurück und fällt zeitlich mit dem Auftauchen des Fehlers 1219 zusammen. Wir haben das nur nicht bemerkt, da wir 2 DCs zur Authentifizierung eingetragen hatte. Nachdem die Anmeldung am ersten DC nicht mehr ging, hat er den 2. benutzt. Der 2. DC wurde in den letzten Tagen 2 mal neu gestartet.

    Hoffe, das hilft?

     

    René

    Mittwoch, 13. April 2011 17:11
    |
  • Question
    Anmelden
    0
    Anmelden

    * Hubi (Wed, 13 Apr 2011 17:11:22 +0000)

    Zum LDAP-Browser (akt. 4.5), da kann man zumindest SSL anhäkeln, da geh ich mal von aus, dass er das dann auch macht.

    Das ist etwas anderes. LDAP Browser ist acht Jahre lang nicht aktualisiert worden und vor zwei Wochen hat Softerra eine neue Version herausgebracht.

    Die Frage ist, als wer du angemeldet worden bist.

    Wenn ich LDP starte kann ich über 389 und 636 eine Verbindung zum AD herstellen. Versuche ich aber eine Anmeldung (Remotedesktopverbindung

    Gebunden) kommt beim Versuch über "Einfache Anmeldung" die Meldung:

    Tut mir leid, ich verstehe nicht, wo der Unterschied ist.

    res = ldap_simple_bind_s(ld, 'hubert', <unavailable>); // v.3

    Authenticated as: 'NT-AUTORITÄT\ANONYMOUS-ANMELDUNG'.

    Das würde mit dem Astaro-Problem zusammenpassen.

    Thorsten

    Donnerstag, 14. April 2011 10:16
    |
  • Question
    Anmelden
    0
    Anmelden

    Wenn ich LDP starte kann ich über 389 und 636 eine Verbindung zum AD herstellen. Versuche ich aber eine Anmeldung (Remotedesktopverbindung

    Gebunden) kommt beim Versuch über "Einfache Anmeldung" die Meldung:

    Tut mir leid, ich verstehe nicht, wo der Unterschied ist.

    Ich kann mich im LDP über verschiedene Methoden anmelden. Eine davon heißt "Einfache Anmeldung". Mit den anderen Varianten klappt das login.

    Die Frage ist nun: Wie schalte ich die "Einfache Bindung"wieder ein. Ich habe mit einem Kollegen in der DefaultDomainPolicy sämtliche konfigurierten Parameter kontrolliert - Fehlanzeige! 

    René

    Donnerstag, 14. April 2011 12:41
    |
  • Question
    Anmelden
    0
    Anmelden

    * Hubi (Thu, 14 Apr 2011 12:41:21 +0000)

    Wenn ich LDP starte kann ich über 389 und 636 eine Verbindung zum AD herstellen. Versuche ich aber eine Anmeldung (Remotedesktopverbindung

    Gebunden) kommt beim Versuch über "Einfache Anmeldung" die Meldung:

    Tut mir leid, ich verstehe nicht, wo der Unterschied ist.

    Ich kann mich im LDP über verschiedene Methoden anmelden. Eine davon heißt "Einfache Anmeldung". Mit den anderen Varianten klappt das login.

    Die Frage ist nun: Wie schalte ich die "Einfache Bindung"wieder ein.

    Ich glaube nicht, dass man den Simple Bind deaktivieren kann. Mach einen Fall mit Microsoft auf...

    Thorsten

    Donnerstag, 14. April 2011 14:20
    |