Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
jcwb
Themen-Autor
Beiträge: 4
Registriert: Di 04.06.2019, 12:27

AD-Anbindung mit SSL/Sign/Seal

Mi 13.11.2019, 17:39

Hallo,

gibt es hier im Forum jemanden, der die Securepoint AD-Anbindung mit SSL (oder Seal/Sign) in Betrieb hat? Das AD wird durch Windows Server 2016 bereitgestellt.

Für uns funktioniert dies seit Firmware 11.8.x nicht mehr. Mit der 11.7.x Reihe war LDAP über SSL problemlos nutzbar.

Das Thema wird wieder aktuell da Microsoft plant, LDAP-Verbindungen ohne SSL bzw, Seal/Sign per Patch zu unterbinden: https://support.microsoft.com/en-us/hel ... or-windows
 
jcwb
Themen-Autor
Beiträge: 4
Registriert: Di 04.06.2019, 12:27

Re: AD-Anbindung mit SSL/Sign/Seal

Fr 15.11.2019, 12:12

Nachtrag:

Mit der 11.7.x Reihe war LDAP über SSL problemlos nutzbar


Unklar formuliert: die mit SSL abgesicherte AD-Anbindung hat mit der 11.7.x Firmware funktioniert.

Der Verzeichnistyp LDAP lässt sich mit SSL nutzen, jedoch funktionieren Kennwörter mit Sonderzeichen (bisher festgestellt: "$", das Dollar-Zeichen) nicht korrekt. Der LDAP-Bind schlägt fehl.

Der Fehler der durch den LDAP-Server zurückgegeben wird:
80090308: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839

Und ja, das Kennwort wurde mehrfach überprüft, via Wireshark ist es auch schön im Klartext zu sehen wenn die Verbindung ohne SSL stattfindet. Ggf. ein Problem beim Parsen oder Encoding.

Mit anderen LDAP-Clients (z.B. LDP.exe oder ldapsearch auf Debian 10 im Paketldap-utils) ist das gleiche Kennwort für simple Binds ohne Probleme nutzbar.

LDAP ohne direkte AD-Integration ist also auch nicht sinnvoll nutzbar, ich kann hier schlecht verlangen dass z.B. das Dollar-Zeichen nicht mehr in Kennwörtern verwendet werden darf.

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 7 Gäste