Dabinam 1 Geschrieben 20. Dezember 2021 Melden Geschrieben 20. Dezember 2021 Hallo, ich habe eine Frage zu „LDAP channel binding“ und „LDAP signing“ zwischen einem Windows DC und einem Ubuntu Server. Der Ubuntu Server baut eine Verbindung zu unserem AD auf und er DC logt in der Ereignisanzeige (Directory Service) die ID 2889, „Der folgende Client hat eine SASL-LDAP-Bindung (Verhandlung/Kerberos/NTLM/Digest) durchgeführt, ohne eine Signatur anzufordern (Integritätsüberprüfung), oder er hat eine einfache Bindung über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung) hergestellt.“ Kann mir jemand sagen, wie ich die Verbindung zwischen dem Ubuntu und unserem DC signieren kann. Eine eigene CA haben wir nicht. Vielen Dank schon mal.
cj_berlin 1.508 Geschrieben 20. Dezember 2021 Melden Geschrieben 20. Dezember 2021 Moin, siehe Abschnitt "GSSAPI" unter https://linux.die.net/man/5/ldap.conf . Allerdings ist es in Bezug auf ein mögliches Abhören von Credentials nicht sicherer als was ihr jetzt macht, nur in Bezug auf Replay. Ihr solltet daher überlegen, ob nicht die Zeit gekommen ist, euren DCs Zertifikate zu verpassen und auf LDAPS zu wechseln. @NilsK wird gleich sagen, PKI ist böse, wenn man nicht weiß, was man tut, und er hat nicht unrecht. Andererseits, Credentials unverschlüsselt übertragen ist auch böse. 2
NilsK 3.046 Geschrieben 20. Dezember 2021 Melden Geschrieben 20. Dezember 2021 Moin, PKI ist böse, wenn man nicht weiß, was man tut. Gruß, Nils 5
Dabinam 1 Geschrieben 20. Dezember 2021 Autor Melden Geschrieben 20. Dezember 2021 Danke für die Infos. Mit einer, natürlich gut überlegten, PKI-Infrastruktur werden wir uns wohl auseinander setzten müssen. Im nächsten Jahr, wenn man am Anfang des Jahres noch denk man hat Zeit und schwupps ist es schon Sommer und man muss in den Urlaub und kurz danach ist es auch schon Herbst und dann lohnt es sich ja gar nicht mehr was anzufangen, da das Jahr schon fast wieder rum ist...
NilsK 3.046 Geschrieben 20. Dezember 2021 Melden Geschrieben 20. Dezember 2021 Moin, Also, in Wirklichkeit ist eine PKI auch keine Raketenwissenschaft. Sie ist nur hinreichend kompliziert, sodass man in der freien Wildbahn alles, was man falsch oder schlecht machen kann, üblicherweise auch falsch oder schlecht gemacht antrifft. Gruß, Nils
NorbertFe 2.283 Geschrieben 20. Dezember 2021 Melden Geschrieben 20. Dezember 2021 Das schöne daran ist, dass man all das was man falsch oder schlecht machen konnte und gemacht hat, erst deutlich später erkennt. ;)
NilsK 3.046 Geschrieben 21. Dezember 2021 Melden Geschrieben 21. Dezember 2021 Moin, Oder um die Dinge einfach mal beim Namen zu nennen: ich empfehle kompetente Beratung. Ein Buch kann ich zwar auch empfehlen (das von Rheinwerk), aber leider fehlen da die konkreten Anleitungen, wie man es nach Best Practice wirklich aufbaut. Gruß, Nils 1
MurdocX 1.004 Geschrieben 21. Dezember 2021 Melden Geschrieben 21. Dezember 2021 (bearbeitet) vor 56 Minuten schrieb NilsK: Ein Buch kann ich zwar auch empfehlen (das von Rheinwerk) Ich schließe mich an, denn ich hab's selber auch hier liegen und gebraucht. bearbeitet 21. Dezember 2021 von MurdocX
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden