itallrounder
Goto Top

LDAPs Zertifikatsverteilung auf Linux und Windows

Guten Abend zusammen,

ich verzweifele aktuell an der Einrichtung von Ldap over SSL.

Folgende Gegebenheiten liegen vor:

Active Directory: Windows Server 2022
Domain Name: ad.company.de
ROOT-CA: Windows Server 2022

Diverse Umsysteme mit Windows Server 2022 (Domain Joined und non Domain joined), als auch Ubuntu Server 20.04.3

Grundlegen bin ich wie folgt vorgegangen:
- Installation einer Root-CA
- Verteilung des Root-CA über GPO
- Export der Root-CA als Base64-Codiert X.509
- Erstellung einer neuen Vorlage in der Zertifikatskonsole (LDAPs)
- Erstellung eines LDAPs Zertifikats pro Domain Controller, anhand der Vorlage (LDAPs)
- Export der LDAPs Zertifikat als .PFX und als Base64-Codiert X.509


Vorgehen bei Windows Systemen:
MMC.exe aufrufen -> Zertifikat -> Eigene Zertifikate -> Import -> DC01-LDAPs.pfx / DC01-LDAPs.crt
LDAPs Verbindung über Port 636 funktioniert.

Vorgehen auf Linux Systemen:
Das Root Zertifikat "Company-Root.crt" im Notepad++ öffnen, Inhalt kopieren und auf dem Ubuntu Server in "/etc/ca-certificates" als Company.crt einfügen.
Nun führe ich update-ca-certificates aus und erhalten als Ausgabe: 0 added, 0 removed, done.
Ich habe auch testweise einmal die DC01-LDAPs.crt und DC02-LDAPs.crt in "/etc/ssl/certs/" abgelegt.
Leider war auch das Erfolglos.

Auf dem Ubuntu Server läuft z.B die Software "PHPIPAM, TeamPass und Wordpress".
Wenn ich dort nun auf LDAP Authentifizierung gehe, erhalte ich die Meldung, dass ein Konnektivitätstest mit den Domain Controllern erfolgreich sei, aber wenn ich nun einem User im Backend anlegen will oder mich mit diesem an der Software anmelden möchte, so erhalten ich die wildesten Fehlermeldung.

z.B
PHPIPAM: Ungültige Anmeldedaten - (unknown error code)
TeamPass: Create new adldap object: sucess; After authenticate: Can't contact LDAP Server; LDAP status: not possible to get connected with this user

Nachdem ich das ganze Wochenede fleißig war und eine Komplette Umgebung neu aufgebaut habe, (Citrix Virtual Apps & Desktops, WSUS, KMS, Windows 10 Image auf WDS, etc.... bin ich wohl Betriebsblind geworden....


Weil selbst wenn ich im PHPIPAM z.B wieder auf LDAP Port 389 umstelle erhalte ich folgende Meldung:
Ungüötige Anmeldedaten: 80090308: LdapErr: DSID-0C090434, comment: AccesptSecurityContext error, data 773, v4f7c

Grundsätzlich bin ich aber auf LDAPs angewiesen.
Hintergrund der Geschichte ist, dass die alten Domain Controller in der Umgebung das SYSVOL Verzeichnis nicht mehr replizieren und diverse Anomalien auftreten.
Deswegen : Gesamte Infrastruktur einmal neu.

Ich hoffe es hat hier jemand rat für mich und kann den benötigen Denkanstoß liefern.


Schönen Sonntag noch face-smile

Content-ID: 2080189963

Url: https://administrator.de/forum/ldaps-zertifikatsverteilung-auf-linux-und-windows-2080189963.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

1915348599
1915348599 06.03.2022, aktualisiert am 07.03.2022 um 07:16:58 Uhr
Goto Top
Vorgehen bei Windows Systemen:
MMC.exe aufrufen -> Zertifikat -> Eigene Zertifikate -> Import -> DC01-LDAPs.pfx / DC01-LDAPs.crt
Überflüssige Handarbeit für Domain Joined Rechner. Die Windows-CA hat eine integrierte automatische Verteilfunktion, damit ziehen und erneuern sich die Clients bestimmte Zertifikate automatisch wenn man eine GPO setzt und beim Template ein Häkchen setzt.
Configure Group Policy to Autoenroll and Deploy Certificates
How to set up automatic certificate enrollment in Active Directory

Des weiteren kommen CA Zertifikate nicht in den My-Store sondern in den Machine Store in die vertrauenswürdigen Zertifizierungsstellen, denn ein Client braucht selbst kein LDAPs Zertifikat das braucht nur ein Server der LDAP selbst anbietet.

Auf Domain Joined Clients ist überhaupt keine Arbeit nötig für LDAPs, denn das Computerzertifikate der DCs ist automatisch dafür geeignet und da die Computer der CA sowieso vertrauen, Works out of the box.

Für Linux:

The Debian-style update-ca-certificates requires certificates in PEM format (the text format with BEGIN CERTIFICATE headers). If you have a file in binary (DER) format, use openssl x509 to convert it:

openssl x509 -inform DER < myCA.crt > myCA_pem.crt
To install:

Copy the certificate to the /usr/local/share/ca-certificates directory (mkdir if needed). The file name must end with .crt.
Run update-ca-certificates as root.
For more information, see the update-ca-certificates(8) manual page.