Jump to content
DerOlele

LDAP vs LDAPS via TLS

Recommended Posts

Hallo Community!


Ich hätte da gerne die Meinung anderer zu einem etwas schwierigeren Thema.

Aktuell haben wir in unserer Domäne (2012 R2 Functionlevel) nur LDAP ohne verschlüsselung im Einsatz.

 

Die Windows Anmeldung wird ja mittels Kerberos Tickets abgewickelt.

 

Jetzt kam von einem Kollegen der Einwand das wir schnellstmöglich LDAPS aktiverien sollten weil es ihm gelungen ist, einige Kennwörter im Klartext mitzulesen.
Bei den Anmeldevorgängen der Clients in der Domäne ist nicht nicht möglich - vermutlich handelt es sich hier um Drittsysteme die via LDPA

bei einem DC Authentifizierungsanfragen absetzten.

 

Jetzt kamen die ersten Rufe auf, die LDAP via TLS fordern. So weit so gut.
So weit ich informiert bin, ist ein parallelbetrieb LDAP und LDAPS möglich. Jedoch frage ich nach der Sinnhaftigkeit.
Wenn ich beides erlaube und nicht sinningerweise das weniger Sichere LDAP verbiete und LDAPS erzwinge.....

 

Kann, muss aber nicht.
Aus Sicherheitstechnischen Gründen wäre es sinnvoller LDAPS zu erzwingen.

Explizit geht es um einen Anwendungsfall. Das Produkt NetScaler von Citrix wird aktuell nur mit LDAP genutzt. Jetzt sollen die USER auch von extern die AD-Kennwörter ändern können.
Das widerum setzt LDAPS voraus. Über die Sinnhaftigkeit könnte man auch wieder streiten.... ^^

 

Wie verhält es sich mit alten Betriebssystemen und LDAPS?
Unterstützen beispielsweise Windows XP LDAPS via TLS?  Habe dazu leider nichts gefunden.
Bitte auch keine Dikussion wegen XP - ich hab mir deswegen den Mund auch schon fusselig geredet...aber Produktionsgewerbe ist leider anders als ein schlichtes Office ^^

 

Was würdet ihr mir empfehlen?
 

Ich sag schon mal Danke!

VG
Th

 

 

Share this post


Link to post
Share on other sites

Du kannst LDAP nicht verbieten, denn dann wird dein AD an sich nicht mehr so rund laufen. Denn auf Port 389 wird zumindest auch die Verwendung von LDAPs und LDAP/TLS annonciert. Evtl. hilft dir das hier weiter:

https://www.faq-o-matic.net/2018/07/16/ldap-signing-auf-domnencontrollern-erzwingen/ und wie man sowas "ausliest" ;)

https://www.faq-o-matic.net/2018/11/27/netzwerktrace-ohne-zusatztools-erzeugen/

 

Bye

Norbert

Edited by NorbertFe

Share this post


Link to post
Share on other sites

Du suchtst "Simple Bind verhindern" :-) (Steckt in den dsHeuristics, wenn ich das noch richtig weiß.) Windows-Clients in der Domäne haben damit kein Problem - die verwenden "Secure Channel", der ist verschlüsselt.

Damit kannst Du aber NICHT verhindern, daß ein Drittclient per LDAP mit User/Kennwort ankommt, damit verhinderst Du nur, daß er damit auch noch Erfolg hat.

LDAPS verpackt das dann wenigstens in SSL/TLS, so daß es nicht mitgelesen werden kann.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...