LDAP Signing und Channel Binding unter Linux

Sichere Verbindung

von Thorsten Scherf

Microsoft hat mit der Sicherheitsempfehlung "ADV190023" einige Änderungen bekanntgegeben, die vor allem LDAP-Clients betreffen, die mit einem Active-Directory-Domänencontroller kommunizieren wollen. Das soll künftig nur noch über signierte Verbindungen möglich sein. Der Open-Source-Tipp in diesem Monat schaut sich an, welche Auswirkungen das auf Linux-Clients hat.

Aus IT-Administrator 05/2020

Auch kleine Firmen haben klare Anforderungen an ihre IT. Im Mai beleuchtet IT-Administrator den Schwerpunkt "Small Business IT". Darin zeigen wir, welche ... (mehr)

Das Security Advisory "ADV190023" [1] wurde von Microsoft bereits im August 2019 veröffentlicht. Hierin kündigte der Hersteller an, dass die Default-Einstellungen für das Channel Binding und das LDAP Signing zukünftig geändert werden, um somit eine sichere Kommunikation zwischen LDAP-Clients und einem Domänencontroller zu gewährleisten. Die Ankündigung hat einiges an Aufsehen erregt und die angekündigten Änderungen wurden seitdem auch mehrmals verschoben. Die letzte Information von Microsoft besagt, dass die Änderungen nun mit einem Update Mitte bis Ende des Jahres 2020 erfolgen sollen.

Aber worum geht es nun überhaupt in dem Microsoft-Advisory? Kurz zusammengefasst lässt sich sagen, dass Microsoft in Zukunft nur noch Verbindungen zu einem Active Directory (AD) zulässt, die signiert sind. Des Weiteren muss für einen erfolgreichen Verbindungsaufbau zu der LDAP-Instanz eines Domänencontroller der anfragende Client ein Channel Binding Token (CBT) präsentieren können, solange die Verbindung über einen sicheren SSL/TLS-Kanal läuft. Schauen wir uns die beiden Punkte im Folgenden nun etwas näher an.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.