peterz
Goto Top

Umstellung LDAP zu LDADPS

Hallo,
ich habe eine Frage zu LDAPS.

MS will ja im Laufe des Jahres die Kommunikation zu den Domänencontrollern mit LDAP unterbinden und nur noch LDAPS unterstützen.

Muss ich jetzt eine eigene CA installieren, damit z.B. eine Applikation eine LDAPS Abfrage gegen das AD richten kann oder gibt es andere Wege über LDADPS zu kommunizieren?

Gruß
Peter

Content-ID: 551346

Url: https://administrator.de/contentid/551346

Ausgedruckt am: 26.11.2024 um 02:11 Uhr

143127
Lösung 143127 25.02.2020 aktualisiert um 12:06:39 Uhr
Goto Top
Muss ich jetzt eine eigene CA installieren
Das ist kein Muss aber bequemer bei der Verteilung, es müssen eben deine Server und Clients dem Zertifikat vertrauen, wenn du keine MS CA nimmst musst du halt manuell sicherstellen (z.B. Deployment des Root CA Zertifikats per GPO) das das Root-Zertifikat deiner verwendeten oder selbst erstellte CA auf die Clients und Server verteilt wird damit sie dem Zertifikat vertrauen schenken. Hier stehen weitere Details zur Einrichtung
Windows LDAPs - Zertifikate als Voraussetzung schaffen - Signaturanforderung für LDAP-Server erforderlich
Peterz
Peterz 25.02.2020 um 12:42:08 Uhr
Goto Top
Vielen Dank für die Antwort und den Link,
Da wir nur zwei Anwendungen haben, die den DC über LDAP anfragen, werde ich mir wohl ein Zertifikat mit Open SSL oder XCA vom DC erstellen und den Applikationen zur Verfügung stellen.
Das sollte dann doch genügen.

Gruß
Peter
143127
Lösung 143127 25.02.2020 aktualisiert um 13:24:25 Uhr
Goto Top
Zitat von @Peterz:
Da wir nur zwei Anwendungen haben, die den DC über LDAP anfragen, werde ich mir wohl ein Zertifikat mit Open SSL oder XCA vom DC erstellen und den Applikationen zur Verfügung stellen.
Das sollte dann doch genügen.
Überprüfen ist besser als "hoffen" das es nicht noch andere Anwendungen im eigenen Netz gibt. Lies dir dazu den folgenden Artikel durch, unter anderem besonders den Abschnitt "Auswerten"
https://www.msxfaq.de/windows/sicherheit/ldapenforcechannelbinding.htm
Beachtung gilt es auch den Clients zu schenken auf denen bspw. Skript (Logon/Startskripte) laufen die über LDAP z.B. Daten abfragen oder schreiben. Vertrauen diese dem Root-Cert nicht, ist dort nämlich auch Feierabend.
Peterz
Peterz 25.02.2020 um 13:25:46 Uhr
Goto Top
Das werde ich machen, danke für den Hinweis.