Raspel Geschrieben 28. Dezember 2012 Geschrieben 28. Dezember 2012 Hallo, im AD welches ich verwalte ist folgende Richtlinie aktiv: Domänencontroller: Signaturanforderungen Eigenschaften für LDAP-Server: erforderlich MS: Gewusst wie: Aktivieren der LDAP-Signierung in Windows Server 2008 Es wurde niemals ein Zertifikat dafür erstellt. Also nur diese Richtlinie auf aktiv gesetzt. Da sich aber alle Windows Clients anmelden können wird wohl SSl verwendet. Welches zertifikat verwenden die Clients denn standardmäßig und wo finde ich es? Denn mit Linux maschinen kann ich mich nicht verbinden auf LDAPs ohne ein zertifikat zu hinterlegen. Auf dem DC das "DCNAME.cer" ist es nicht. DANKE
lupo49 Geschrieben 28. Dezember 2012 Geschrieben 28. Dezember 2012 Der Server lässt vermutlich nur noch Anfragen über verschlüsselte Verbindungen zu. Ich würde mir mal die Zertifikate auf dem System anschauen (mmc -> Zertifikate-SnapIn, für die privater Schlüssel vorhanden ist). Die Clients benötigen keine Zertifikate, nur der Server muss sich ausweisen, wenn die Option aktiv ist. Da die RedHat-Systeme keine AD-Integration besitzen, werden die auch nicht automatisch das selbst-signierte(?) Zertifikat des LDAP-Servers als vertrauenswürdig einstufen. Verwendet ihr intern eine Microsoft-Zertifikatsinfrastruktur?
Raspel Geschrieben 28. Dezember 2012 Autor Geschrieben 28. Dezember 2012 Nein, keine Zertifikatsinfastruktur. Siehe Anhang. Was denkst Du in welchem Abschnitt müsste das entsprechende zertifikat zu finden sein? Beim "DCName.cer" erhalte ich beim importieren auf Linux (Vmware Appliance) den Fehler "premature end onf file". Ist also wohl zu kurz. Vielen Dank schon so weit!
lupo49 Geschrieben 28. Dezember 2012 Geschrieben 28. Dezember 2012 Ggf. hilft das hier weiter: https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx#Exporting_and_Importing_the_LDAPS_Certificate Die verwendeten Zertifikate sollten entweder im Dienst- oder Computerkonto sein. Das unbewusste Verwenden von Zertifikaten irgendwo auf DCs oder generell im AD ist tendenziell nicht so prickelnd. Das sollte alles ausgestellt werden, solange dafür kein entsprechendes Konzept aufgebaut ist.
Raspel Geschrieben 29. Dezember 2012 Autor Geschrieben 29. Dezember 2012 Ja, danke, so konnte ich das problem lösen!
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden