AD-Anbindung mit SSL/Sign/Seal

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
jcwb
Beiträge: 8
Registriert: Di 04.06.2019, 12:27

AD-Anbindung mit SSL/Sign/Seal

Beitrag von jcwb »

Hallo,

gibt es hier im Forum jemanden, der die Securepoint AD-Anbindung mit SSL (oder Seal/Sign) in Betrieb hat? Das AD wird durch Windows Server 2016 bereitgestellt.

Für uns funktioniert dies seit Firmware 11.8.x nicht mehr. Mit der 11.7.x Reihe war LDAP über SSL problemlos nutzbar.

Das Thema wird wieder aktuell da Microsoft plant, LDAP-Verbindungen ohne SSL bzw, Seal/Sign per Patch zu unterbinden: https://support.microsoft.com/en-us/hel ... or-windows

jcwb
Beiträge: 8
Registriert: Di 04.06.2019, 12:27

Beitrag von jcwb »

Nachtrag:
Mit der 11.7.x Reihe war LDAP über SSL problemlos nutzbar
Unklar formuliert: die mit SSL abgesicherte AD-Anbindung hat mit der 11.7.x Firmware funktioniert.

Der Verzeichnistyp LDAP lässt sich mit SSL nutzen, jedoch funktionieren Kennwörter mit Sonderzeichen (bisher festgestellt: "$", das Dollar-Zeichen) nicht korrekt. Der LDAP-Bind schlägt fehl.

Der Fehler der durch den LDAP-Server zurückgegeben wird:

Code: Alles auswählen

80090308: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839
Und ja, das Kennwort wurde mehrfach überprüft, via Wireshark ist es auch schön im Klartext zu sehen wenn die Verbindung ohne SSL stattfindet. Ggf. ein Problem beim Parsen oder Encoding.

Mit anderen LDAP-Clients (z.B. LDP.exe oder ldapsearch auf Debian 10 im Paketldap-utils) ist das gleiche Kennwort für simple Binds ohne Probleme nutzbar.

LDAP ohne direkte AD-Integration ist also auch nicht sinnvoll nutzbar, ich kann hier schlecht verlangen dass z.B. das Dollar-Zeichen nicht mehr in Kennwörtern verwendet werden darf.

jcwb
Beiträge: 8
Registriert: Di 04.06.2019, 12:27

Beitrag von jcwb »

Siehe viewtopic.php?f=33&t=7676&p=20954 für LDAP + SSL/TLS. Wieder nutzbar mit Firmware 11.8.7.

Antworten