Jump to content

LDAPS Zertifikat


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo in die Runde,

 

in einer 2012er-AD mit 4 DC´s muss ein 3rd-party System (Linux-Groupware) ans AD angebunden werden, dies soll natürlich gleich mit ldaps geschehen.

Hierzu bräuchte ich mal eure Unterstützung bzgl. best-practice, bin mir da nämlich trotz div. Quellen/Posts unschlüssig.

Ist es sinnvoller für solche non-Windows Systeme ein eigenes Zertifikat mit langer Laufzeit zu erstellen, das dann auf allen DC´s importiert wird und von der Applikation benutzt wird?

wie hier zB beschrieben....oder hier  ?!

 

Oder exportiert man besser von jedem einzelnen DC ein sowieso vorhandenes Kerberos-Authentifizierungszertifikat (1.3.6.1.4.3...) und bindet diese (in dem Fall 4 Zertifikate) in dem "externen" System ein?

Bedeutet aber doch, dass man diese Prozedur jährlich wiederholen muss, sobald die automatisch erstellten Zertifikate abgelaufen sind.

 

Oder hab ich was übersehen?

 

Link zu diesem Kommentar

Häh? Dein Groupwaresystem spricht also LDAPs mit den DCs. Also müssen deine DCs ein Zertifikat dafür anbieten (bspw. das erwähnte Kerberos-Auth Zert). Da mußt du auch nichts im externen System einbinden, sondern maximal entscheiden, ob du das Root-Zert an das externe System gibts, oder ob du Zertifikatsfehler ggf. ignorieren kannst/darfst/willst. Deine Formulierungen lassen ein wenig darauf schließen, dass dir das Prinzip nicht ganz geläufig ist. Falls mich das täuschen sollte, dann bitte nicht übel nehmen. :)


Bye

Norbert

Link zu diesem Kommentar

Moin,

 

stell es dir vor wie bei einem Webserver und dessen TLS-Zertifikat ("SSL-Zertifikat") - das ist ziemlich exakt dasselbe. Der Webserver hat ein Zertifikat, mit dem er die Verschlüsselung einleitet. Der Client braucht kein Zertifikat, er muss nur dem Zertifikat des Servers vertrauen. Dafür muss man ihm das Root-Zertifikat seiner PKI zugreifbar machen. Genauso ist das auch beim DC und dem LDAPS-Zertifikat.

 

Die Artikel, die du zitierst, gehen von anderen bzw. speziellen Voraussetzungen aus. Sie gelten nicht allgemein. Im ersten Fall geht es um LDAP-Loadbalancer (die ohnehin im AD nicht supported sind), im zweiten um spezielle Szenarien bei DCs, die mehr als ein Zertifikat haben (was man vermeiden sollte, aber in den meisten Fällen auch kein Problem darstellen würde).

 

Gruß, Nils

 

Link zu diesem Kommentar

Moin und danke für eure Antworten!

 

@Norbert,

also wenn ich mir die LDAPS-Events 2889 anschaue, dann sieht man, dass der Groupwareserver eine Klartextverbindung mit dem AD herstellen will.

Um hier auf SSL umzustellen, muss in dessen config der Port 636 eingestellt und das bzw. ein (oder mehrere bei mehreren DCs?) LDAP-Zertifikate hinterlegt werden.

 

Daher mein erster Gedanke, von den DC´s die Kerb-Auth-Certs zu exportieren und in der config das .crt anzugeben.

 

 

bearbeitet von al3x
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...