Hallo,
gibt es hier im Forum jemanden, der die Securepoint AD-Anbindung mit SSL (oder Seal/Sign) in Betrieb hat? Das AD wird durch Windows Server 2016 bereitgestellt.
Für uns funktioniert dies seit Firmware 11.8.x nicht mehr. Mit der 11.7.x Reihe war LDAP über SSL problemlos nutzbar.
Das Thema wird wieder aktuell da Microsoft plant, LDAP-Verbindungen ohne SSL bzw, Seal/Sign per Patch zu unterbinden: https://support.microsoft.com/en-us/hel ... or-windows
AD-Anbindung mit SSL/Sign/Seal
Moderator: Securepoint
Nachtrag:
Der Verzeichnistyp LDAP lässt sich mit SSL nutzen, jedoch funktionieren Kennwörter mit Sonderzeichen (bisher festgestellt: "$", das Dollar-Zeichen) nicht korrekt. Der LDAP-Bind schlägt fehl.
Der Fehler der durch den LDAP-Server zurückgegeben wird:
Und ja, das Kennwort wurde mehrfach überprüft, via Wireshark ist es auch schön im Klartext zu sehen wenn die Verbindung ohne SSL stattfindet. Ggf. ein Problem beim Parsen oder Encoding.
Mit anderen LDAP-Clients (z.B. LDP.exe oder ldapsearch auf Debian 10 im Paketldap-utils) ist das gleiche Kennwort für simple Binds ohne Probleme nutzbar.
LDAP ohne direkte AD-Integration ist also auch nicht sinnvoll nutzbar, ich kann hier schlecht verlangen dass z.B. das Dollar-Zeichen nicht mehr in Kennwörtern verwendet werden darf.
Unklar formuliert: die mit SSL abgesicherte AD-Anbindung hat mit der 11.7.x Firmware funktioniert.Mit der 11.7.x Reihe war LDAP über SSL problemlos nutzbar
Der Verzeichnistyp LDAP lässt sich mit SSL nutzen, jedoch funktionieren Kennwörter mit Sonderzeichen (bisher festgestellt: "$", das Dollar-Zeichen) nicht korrekt. Der LDAP-Bind schlägt fehl.
Der Fehler der durch den LDAP-Server zurückgegeben wird:
Code: Alles auswählen
80090308: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839
Mit anderen LDAP-Clients (z.B. LDP.exe oder ldapsearch auf Debian 10 im Paketldap-utils) ist das gleiche Kennwort für simple Binds ohne Probleme nutzbar.
LDAP ohne direkte AD-Integration ist also auch nicht sinnvoll nutzbar, ich kann hier schlecht verlangen dass z.B. das Dollar-Zeichen nicht mehr in Kennwörtern verwendet werden darf.
Siehe viewtopic.php?f=33&t=7676&p=20954 für LDAP + SSL/TLS. Wieder nutzbar mit Firmware 11.8.7.