LDAP-Server SSL aktivieren

Warum umstellen?

Microsoft veröffentlicht Mitte 2020 einen Patch, der LDAP Channel Binding und LDAP Signing erzwingt.
/portal.msrc.microsoft.com//ADV190023

Jede Software, die AD-Abfragen macht, ist davon betroffen.
support.microsoft.com/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows

Es werden SASL-LDAP Binds, die keine Signatur erfordern, und Simple LDAP Binds über unverschlüsselte Verbindungen unterbunden.

Über erhöhte Log-Level und Event-IDs können nicht-signierte LDAP-Verbindungen ermittelt werden.
Im Registry auf dem Domänenkontroller kann das erhöhte Log aktiviert werden. Stellen Sie hierfür auf dem Domänenkontroller "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\16 LDAP Interface Events" von 0 auf 2. (Nach der Umstellung muss diese Einstellung wieder auf 0 umgestellt werden.)

Mit einem Filter im Windows Eventlog auf die IDs: 2886, 2887, 2888, 2889 (alternativ 2886-2889) können die Hosts ermittelt werden, die SASL-LDAP Binds, die keine Signatur erfordern, und Simple LDAP Binds über unverschlüsselte Verbindungen aufbauen. Passen Sie dafür in Aeneis den LDAP-Server an.

Anleitung:

  1. Öffnen Sie die ServerAdministration

  2. Öffnen Sie unter Authentifizierung | LDAP die Eigenschaften des LDAP-Servers

  3. Aktivieren Sie die Eigenschaft SSL verwenden

  4. Tragen Sie den SSL-Port ein

  5. Überprüfen Sie die Verbindung

  1. Bestätigen Sie den Dialog Selbstsigniertes Zertifikat importieren mit Ja

  1. Speichern Sie die Eigenschaften

Ergebnis:

Der Aeneis-Server verwendet eine verschlüsselte LDAP-Verbindung. Dies ist durch die erzeugte Datei aeneis-client-keystore.jks im Anwendungsdatenverzeichnis möglich. Damit die Anmeldung über LDAP auf den FatClients weiterhin möglich ist, muss diese Datei (aeneis-client-keystore.jks) auch auf den Client-Installationen vorhanden sein.

  • (Bei Serverbetrieb mit HTTP) Kopieren Sie die Datei in die Anwendungsdatenverzeichnisse der Clients.

  • (Bei Serverbetrieb mit HTTPS) Entfernen Sie die sichere Verbindung in den Clients in der Serververbindung und setzen Sie sie neu. Akzeptieren Sie anschließend die Zertifikate.