Zum Inhalt springen

AD: sichere LDAP Verbindungen - welches Zertifikat wird verwendet?

Raspel

Von Raspel
in Security

 Teilen

Empfohlene Beiträge

Raspel

Raspel

Geschrieben
Geschrieben

Hallo, im AD welches ich verwalte ist folgende Richtlinie aktiv:

Domänencontroller: Signaturanforderungen Eigenschaften für LDAP-Server: erforderlich

MS: Gewusst wie: Aktivieren der LDAP-Signierung in Windows Server 2008

Es wurde niemals ein Zertifikat dafür erstellt. Also nur diese Richtlinie auf aktiv gesetzt.

Da sich aber alle Windows Clients anmelden können wird wohl SSl verwendet.

Welches zertifikat verwenden die Clients denn standardmäßig und wo finde ich es?

Denn mit Linux maschinen kann ich mich nicht verbinden auf LDAPs ohne ein zertifikat zu hinterlegen.

Auf dem DC das "DCNAME.cer" ist es nicht.

DANKE

lupo49

lupo49

Geschrieben
Geschrieben

Der Server lässt vermutlich nur noch Anfragen über verschlüsselte Verbindungen zu. Ich würde mir mal die Zertifikate auf dem System anschauen (mmc -> Zertifikate-SnapIn, für die privater Schlüssel vorhanden ist). Die Clients benötigen keine Zertifikate, nur der Server muss sich ausweisen, wenn die Option aktiv ist.

Da die RedHat-Systeme keine AD-Integration besitzen, werden die auch nicht automatisch das selbst-signierte(?) Zertifikat des LDAP-Servers als vertrauenswürdig einstufen.

Verwendet ihr intern eine Microsoft-Zertifikatsinfrastruktur?

Raspel

Raspel

Geschrieben
  • Autor
Geschrieben

Nein, keine Zertifikatsinfastruktur.

Siehe Anhang.

Was denkst Du in welchem Abschnitt müsste das entsprechende zertifikat zu finden sein?

Beim "DCName.cer" erhalte ich beim importieren auf Linux (Vmware Appliance) den Fehler "premature end onf file".

Ist also wohl zu kurz.

Vielen Dank schon so weit!

post-65392-14430449406856_thumb.jpg

lupo49

lupo49

Geschrieben
Geschrieben

Ggf. hilft das hier weiter: https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx#Exporting_and_Importing_the_LDAPS_Certificate

Die verwendeten Zertifikate sollten entweder im Dienst- oder Computerkonto sein.

Das unbewusste Verwenden von Zertifikaten irgendwo auf DCs oder generell im AD ist tendenziell nicht so prickelnd. Das sollte alles ausgestellt werden, solange dafür kein entsprechendes Konzept aufgebaut ist.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...