Umstellung LDAP zu LDADPS
Hallo,
ich habe eine Frage zu LDAPS.
MS will ja im Laufe des Jahres die Kommunikation zu den Domänencontrollern mit LDAP unterbinden und nur noch LDAPS unterstützen.
Muss ich jetzt eine eigene CA installieren, damit z.B. eine Applikation eine LDAPS Abfrage gegen das AD richten kann oder gibt es andere Wege über LDADPS zu kommunizieren?
Gruß
Peter
ich habe eine Frage zu LDAPS.
MS will ja im Laufe des Jahres die Kommunikation zu den Domänencontrollern mit LDAP unterbinden und nur noch LDAPS unterstützen.
Muss ich jetzt eine eigene CA installieren, damit z.B. eine Applikation eine LDAPS Abfrage gegen das AD richten kann oder gibt es andere Wege über LDADPS zu kommunizieren?
Gruß
Peter
Please also mark the comments that contributed to the solution of the article
Content-ID: 551346
Url: https://administrator.de/contentid/551346
Printed on: November 6, 2024 at 09:11 o'clock
4 Comments
Latest comment
Muss ich jetzt eine eigene CA installieren
Das ist kein Muss aber bequemer bei der Verteilung, es müssen eben deine Server und Clients dem Zertifikat vertrauen, wenn du keine MS CA nimmst musst du halt manuell sicherstellen (z.B. Deployment des Root CA Zertifikats per GPO) das das Root-Zertifikat deiner verwendeten oder selbst erstellte CA auf die Clients und Server verteilt wird damit sie dem Zertifikat vertrauen schenken. Hier stehen weitere Details zur EinrichtungWindows LDAPs - Zertifikate als Voraussetzung schaffen - Signaturanforderung für LDAP-Server erforderlich
Zitat von @Peterz:
Da wir nur zwei Anwendungen haben, die den DC über LDAP anfragen, werde ich mir wohl ein Zertifikat mit Open SSL oder XCA vom DC erstellen und den Applikationen zur Verfügung stellen.
Das sollte dann doch genügen.
Überprüfen ist besser als "hoffen" das es nicht noch andere Anwendungen im eigenen Netz gibt. Lies dir dazu den folgenden Artikel durch, unter anderem besonders den Abschnitt "Auswerten"Da wir nur zwei Anwendungen haben, die den DC über LDAP anfragen, werde ich mir wohl ein Zertifikat mit Open SSL oder XCA vom DC erstellen und den Applikationen zur Verfügung stellen.
Das sollte dann doch genügen.
https://www.msxfaq.de/windows/sicherheit/ldapenforcechannelbinding.htm
Beachtung gilt es auch den Clients zu schenken auf denen bspw. Skript (Logon/Startskripte) laufen die über LDAP z.B. Daten abfragen oder schreiben. Vertrauen diese dem Root-Cert nicht, ist dort nämlich auch Feierabend.