1
LDAPs Zertifikatsverteilung auf Linux und Windows
Guten Abend zusammen,
ich verzweifele aktuell an der Einrichtung von Ldap over SSL.
Folgende Gegebenheiten liegen vor:
Active Directory: Windows Server 2022
Domain Name: ad.company.de
ROOT-CA: Windows Server 2022
Diverse Umsysteme mit Windows Server 2022 (Domain Joined und non Domain joined), als auch Ubuntu Server 20.04.3
Grundlegen bin ich wie folgt vorgegangen:
- Installation einer Root-CA
- Verteilung des Root-CA über GPO
- Export der Root-CA als Base64-Codiert X.509
- Erstellung einer neuen Vorlage in der Zertifikatskonsole (LDAPs)
- Erstellung eines LDAPs Zertifikats pro Domain Controller, anhand der Vorlage (LDAPs)
- Export der LDAPs Zertifikat als .PFX und als Base64-Codiert X.509
Vorgehen bei Windows Systemen:
MMC.exe aufrufen -> Zertifikat -> Eigene Zertifikate -> Import -> DC01-LDAPs.pfx / DC01-LDAPs.crt
LDAPs Verbindung über Port 636 funktioniert.
Vorgehen auf Linux Systemen:
Das Root Zertifikat "Company-Root.crt" im Notepad++ öffnen, Inhalt kopieren und auf dem Ubuntu Server in "/etc/ca-certificates" als Company.crt einfügen.
Nun führe ich update-ca-certificates aus und erhalten als Ausgabe: 0 added, 0 removed, done.
Ich habe auch testweise einmal die DC01-LDAPs.crt und DC02-LDAPs.crt in "/etc/ssl/certs/" abgelegt.
Leider war auch das Erfolglos.
Auf dem Ubuntu Server läuft z.B die Software "PHPIPAM, TeamPass und Wordpress".
Wenn ich dort nun auf LDAP Authentifizierung gehe, erhalte ich die Meldung, dass ein Konnektivitätstest mit den Domain Controllern erfolgreich sei, aber wenn ich nun einem User im Backend anlegen will oder mich mit diesem an der Software anmelden möchte, so erhalten ich die wildesten Fehlermeldung.
z.B
PHPIPAM: Ungültige Anmeldedaten - (unknown error code)
TeamPass: Create new adldap object: sucess; After authenticate: Can't contact LDAP Server; LDAP status: not possible to get connected with this user
Nachdem ich das ganze Wochenede fleißig war und eine Komplette Umgebung neu aufgebaut habe, (Citrix Virtual Apps & Desktops, WSUS, KMS, Windows 10 Image auf WDS, etc.... bin ich wohl Betriebsblind geworden....
Weil selbst wenn ich im PHPIPAM z.B wieder auf LDAP Port 389 umstelle erhalte ich folgende Meldung:
Ungüötige Anmeldedaten: 80090308: LdapErr: DSID-0C090434, comment: AccesptSecurityContext error, data 773, v4f7c
Grundsätzlich bin ich aber auf LDAPs angewiesen.
Hintergrund der Geschichte ist, dass die alten Domain Controller in der Umgebung das SYSVOL Verzeichnis nicht mehr replizieren und diverse Anomalien auftreten.
Deswegen : Gesamte Infrastruktur einmal neu.
Ich hoffe es hat hier jemand rat für mich und kann den benötigen Denkanstoß liefern.
Schönen Sonntag noch
ich verzweifele aktuell an der Einrichtung von Ldap over SSL.
Folgende Gegebenheiten liegen vor:
Active Directory: Windows Server 2022
Domain Name: ad.company.de
ROOT-CA: Windows Server 2022
Diverse Umsysteme mit Windows Server 2022 (Domain Joined und non Domain joined), als auch Ubuntu Server 20.04.3
Grundlegen bin ich wie folgt vorgegangen:
- Installation einer Root-CA
- Verteilung des Root-CA über GPO
- Export der Root-CA als Base64-Codiert X.509
- Erstellung einer neuen Vorlage in der Zertifikatskonsole (LDAPs)
- Erstellung eines LDAPs Zertifikats pro Domain Controller, anhand der Vorlage (LDAPs)
- Export der LDAPs Zertifikat als .PFX und als Base64-Codiert X.509
Vorgehen bei Windows Systemen:
MMC.exe aufrufen -> Zertifikat -> Eigene Zertifikate -> Import -> DC01-LDAPs.pfx / DC01-LDAPs.crt
LDAPs Verbindung über Port 636 funktioniert.
Vorgehen auf Linux Systemen:
Das Root Zertifikat "Company-Root.crt" im Notepad++ öffnen, Inhalt kopieren und auf dem Ubuntu Server in "/etc/ca-certificates" als Company.crt einfügen.
Nun führe ich update-ca-certificates aus und erhalten als Ausgabe: 0 added, 0 removed, done.
Ich habe auch testweise einmal die DC01-LDAPs.crt und DC02-LDAPs.crt in "/etc/ssl/certs/" abgelegt.
Leider war auch das Erfolglos.
Auf dem Ubuntu Server läuft z.B die Software "PHPIPAM, TeamPass und Wordpress".
Wenn ich dort nun auf LDAP Authentifizierung gehe, erhalte ich die Meldung, dass ein Konnektivitätstest mit den Domain Controllern erfolgreich sei, aber wenn ich nun einem User im Backend anlegen will oder mich mit diesem an der Software anmelden möchte, so erhalten ich die wildesten Fehlermeldung.
z.B
PHPIPAM: Ungültige Anmeldedaten - (unknown error code)
TeamPass: Create new adldap object: sucess; After authenticate: Can't contact LDAP Server; LDAP status: not possible to get connected with this user
Nachdem ich das ganze Wochenede fleißig war und eine Komplette Umgebung neu aufgebaut habe, (Citrix Virtual Apps & Desktops, WSUS, KMS, Windows 10 Image auf WDS, etc.... bin ich wohl Betriebsblind geworden....
Weil selbst wenn ich im PHPIPAM z.B wieder auf LDAP Port 389 umstelle erhalte ich folgende Meldung:
Ungüötige Anmeldedaten: 80090308: LdapErr: DSID-0C090434, comment: AccesptSecurityContext error, data 773, v4f7c
Grundsätzlich bin ich aber auf LDAPs angewiesen.
Hintergrund der Geschichte ist, dass die alten Domain Controller in der Umgebung das SYSVOL Verzeichnis nicht mehr replizieren und diverse Anomalien auftreten.
Deswegen : Gesamte Infrastruktur einmal neu.
Ich hoffe es hat hier jemand rat für mich und kann den benötigen Denkanstoß liefern.
Schönen Sonntag noch
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2080189963
Url: https://administrator.de/contentid/2080189963
Ausgedruckt am: 22.11.2024 um 03:11 Uhr
1 Kommentar
Vorgehen bei Windows Systemen:
MMC.exe aufrufen -> Zertifikat -> Eigene Zertifikate -> Import -> DC01-LDAPs.pfx / DC01-LDAPs.crt
Überflüssige Handarbeit für Domain Joined Rechner. Die Windows-CA hat eine integrierte automatische Verteilfunktion, damit ziehen und erneuern sich die Clients bestimmte Zertifikate automatisch wenn man eine GPO setzt und beim Template ein Häkchen setzt.MMC.exe aufrufen -> Zertifikat -> Eigene Zertifikate -> Import -> DC01-LDAPs.pfx / DC01-LDAPs.crt
Configure Group Policy to Autoenroll and Deploy Certificates
How to set up automatic certificate enrollment in Active Directory
Des weiteren kommen CA Zertifikate nicht in den My-Store sondern in den Machine Store in die vertrauenswürdigen Zertifizierungsstellen, denn ein Client braucht selbst kein LDAPs Zertifikat das braucht nur ein Server der LDAP selbst anbietet.
Auf Domain Joined Clients ist überhaupt keine Arbeit nötig für LDAPs, denn das Computerzertifikate der DCs ist automatisch dafür geeignet und da die Computer der CA sowieso vertrauen, Works out of the box.
Für Linux:
The Debian-style update-ca-certificates requires certificates in PEM format (the text format with BEGIN CERTIFICATE headers). If you have a file in binary (DER) format, use openssl x509 to convert it:
openssl x509 -inform DER < myCA.crt > myCA_pem.crt
To install:
Copy the certificate to the /usr/local/share/ca-certificates directory (mkdir if needed). The file name must end with .crt.
Run update-ca-certificates as root.
For more information, see the update-ca-certificates(8) manual page.
