Jump to content

LDAP Klartext Anfragen an AD TCP 389 verhindern/absichern ?

andreas222

Von andreas222
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

andreas222 Enthusiast

andreas222   12

Geschrieben
Geschrieben

Hallo zusammen, hallo Nils,

 

 

hier gibt es ja schon ähnliche Fragen zum Thema LDAP/AD.
Wie es aussieht ist es möglich mittels "ldapsearch" unter Linux und einem ungesicherten Login gegen AD, Informationen aus dem AD auszulesen.
Es muss nur eine gültige AD UserID/Passwort Kombination bekannt sein.

 

Im Testsystem habe ich auf den DCs zusätzlich Zertifikate hinterlegt. Eine gesicherte Verbindung über LDAPs TCP 636 funktioniert. (Getestet mit LDP).
Da wohl die gleichen Infos auch über eine ungesicherte Verbindung gehen stellen sich Fragen.

 

1.) Muss oder kann man die DCs bzw. AD hier absichern ohne den AD Betrieb generell zu gefährden ?

2.) Ist das nun ein Problem oder eher Design ?
3.) Habt ihr selbst LDAP Anfragen gegen AD ? Wie geht ihr damit um ?

 

 

Ein älterer Artikel zum Thema:

http://unixwiz.net/techtips/security-ldap-ad.html

 

So habe ich getestet, dabei werden die angeforderten Attribute geliefert.
Damit kann ein AD User, Informationen auslesen.

 

Gesicherte Abfrage:

ldapsearch -ZZ -H 'ldap://ServerX.contoso.local:389/' -D Hansi.Schmid@contoso -W -b 'OU=people,DC=contoso,DC=com' -s sub '(cn=Tom.Jones)' mail userprincipalname samaccountname

 

Ungesicherte Abfrage:
ldapsearch -H 'ldap://ServerX.contoso.local:389/' -D Hansi.Schmid@contoso -W -b 'OU=people,DC=contoso,DC=com' -s sub '(cn=Tom.Jones)' mail userprincipalname samaccountname

 

 

 

Hintergrund/Idee/Anforderung:

 

Das Active Diretcory läuft unter Windows 2012 R2r R2. Dort gibt es eineT Domäne namens: contoso.local
In dieser Domäne gibt es einen User "Hansi.Schmid" und eine Gruppe "Moderator". "Hansi.Schmid" ist Mitglied der
Gruppe "Moderator".

Diese Information möchten err gerne zu Authentifizierungszwecken in einer Anwendung verwenden.
In der "Web-Anwendung" möchte er zum einen mit der passenden Username / Passwort Kombination authentifzieren und zum anderen
möchten er die Information zur Gruppenzugehörigkeit ("Hansi.Schmid" ist Mitglied der Gruppe "Moderator") in der Anwendung mitbenutzen.

 

VG & Merci

Andi

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...