Jump to content

LDAPS Signing und Channelbinding


Recommended Posts

Hallo ich lese gerade viel über die Umstellung von LDAP zu LDAPs und das wohl Windows Server 2008 da wohl nicht mehr unterstützt werden.

 

Ist das jetzt wirklich so, und wenn dann MS umstellt keine Kommunikation mehr von den alten Server zum AD hergestellt werden kann?

 

Kann mich jemand dazu aufklären?

 

Link to post
vor 3 Minuten schrieb Mscheller:

Kann mich jemand dazu aufklären?

 

Keine Ahnung was du da liest. Wäre vielleicht gut, einfach die Quellen anzugeben, damit man weiß, wo du Aufklärung benötigst. Fakt ist, das AD konnte schon von Anfang an auch LDAPs. Ich vermute es geht dir um LDAP Signing und LDAP Channelbinding, aber wie gesagt, nur eine Vermutung.

 

Bye

Norbert

Link to post

Ja werd nur nicht ausführlicher. :/

Ich hab dein Problem noch nicht verstanden. :) Ja Domain Controller mit 2008 haben dann vermutlich ein Problem. Nein Windows Clients haben kein Problem mit den DCs zu reden, die so abgesichert wurden. Und wenn du einfach mal die Links posten würdest, könnte man dir das sogar als Zitat zeigen.

  • Haha 1
Link to post

 Hi,

 

aus https://cusatum.de/ldaps-ist-nicht-ldap-signing-channel-binding/:

Zitat

Führen Sie die folgenden Schritte aus, um Clients so zu konfigurieren, dass diese eine LDAP Signing anfordern:

  1. Öffnen Sie die Group Policy-Management-Konsole (gpmc.msc)
  2. Erweitern Sie die Gesamtstruktur \ Domänen \ Aktuelle Domäne \ Gruppenrichtlinienobjekte
  3. Erstellen Sie eine neue Gruppenrichtlinie und vergeben Sie einen aussagekräftigen Namen (z. B. Client LDAP Signing)
  4. Erstellte Gruppenrichtlinie bearbeiten und wie folgt navigieren:
  5. Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Lokale Richtlinien \ Sicherheitsoptionen
  6. (Englisch: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options)
  7. Bearbeiten Sie die Netzwerksicherheit: Signaturanforderungen für LDAP-Clients (Englisch: Network security: LDAP client signing requirements) und wählen Sie die Option Signatur aushandeln (Englisch: Negotiate Signing)
  8. Verknüpfen Sie das Gruppenrichtlinienobjekt mit der Domänenebene
  9. Wiederholen Sie die Schritte 1 bis 6 für jede Domäne Ihres Forests

Befinden sich deine Member Server unterhalb der Domänenebene (und sind evtl. auch "nur" Clients (mit Server Betriebssystem))? ;)

 

Der verlinkte Artikel ist aber ebenfalls nicht (mehr) korrekt: https://msrc.microsoft.com/update-guide/de-de/vulnerability/ADV190023

Zitat

Important The March 10, 2020 and updates in the foreseeable future will not make changes to LDAP signing or LDAP channel binding policies or their registry equivalent on new or existing domain controllers.

 

Gruß

Jan

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...