LDAP Signing und Channel Binding unter Linux

Sichere Verbindung

Microsoft hat mit der Sicherheitsempfehlung "ADV190023" einige Änderungen bekanntgegeben, die vor allem LDAP-Clients betreffen, die mit einem Active-Directory-Domänencontroller kommunizieren wollen. Das soll künftig nur noch über signierte Verbindungen möglich sein. Der Open-Source-Tipp in diesem Monat schaut sich an, welche Auswirkungen das auf Linux-Clients hat.
Auch kleine Firmen haben klare Anforderungen an ihre IT. Im Mai beleuchtet IT-Administrator den Schwerpunkt "Small Business IT". Darin zeigen wir, welche ... (mehr)

Das Security Advisory "ADV190023" [1] wurde von Microsoft bereits im August 2019 veröffentlicht. Hierin kündigte der Hersteller an, dass die Default-Einstellungen für das Channel Binding und das LDAP Signing zukünftig geändert werden, um somit eine sichere Kommunikation zwischen LDAP-Clients und einem Domänencontroller zu gewährleisten. Die Ankündigung hat einiges an Aufsehen erregt und die angekündigten Änderungen wurden seitdem auch mehrmals verschoben. Die letzte Information von Microsoft besagt, dass die Änderungen nun mit einem Update Mitte bis Ende des Jahres 2020 erfolgen sollen.

Aber worum geht es nun überhaupt in dem Microsoft-Advisory? Kurz zusammengefasst lässt sich sagen, dass Microsoft in Zukunft nur noch Verbindungen zu einem Active Directory (AD) zulässt, die signiert sind. Des Weiteren muss für einen erfolgreichen Verbindungsaufbau zu der LDAP-Instanz eines Domänencontroller der anfragende Client ein Channel Binding Token (CBT) präsentieren können, solange die Verbindung über einen sicheren SSL/TLS-Kanal läuft. Schauen wir uns die beiden Punkte im Folgenden nun etwas näher an.

LDAP Signing aktivieren

Möchten Sie sich mit einem bestehenden Benutzerkonto an einem Domänencontroller anmelden, existieren hierfür grundsätzlich unterschiedliche Methoden. Die einfachste Variante wird als "LDAP Simple Bind" bezeichnet. Hierfür authentifizieren Sie sich einfach mithilfe Ihres Benutzernamens und des dazugehörigen Passworts. Das folgende Beispiel zeigt eine einfache Abfrage an das AD mittels »ldapsearch« :

ldapsearch -xLLL -H ldap://ad1.win2016.test -b 'DC=win2016,DC=test' -D 'CN=Administrator,CN=Users,DC=win2016,DC=test' -W samaccountname=Admnistrator DN
dn: CN=Administrator,CN=Users,DC=win2016,DC=test

Eine solche Abfrage ist komplett ungesichert, da

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2020