andreas222 12 Geschrieben 25. Juni 2015 Melden Teilen Geschrieben 25. Juni 2015 Hallo zusammen, hallo Nils, hier gibt es ja schon ähnliche Fragen zum Thema LDAP/AD.Wie es aussieht ist es möglich mittels "ldapsearch" unter Linux und einem ungesicherten Login gegen AD, Informationen aus dem AD auszulesen.Es muss nur eine gültige AD UserID/Passwort Kombination bekannt sein. Im Testsystem habe ich auf den DCs zusätzlich Zertifikate hinterlegt. Eine gesicherte Verbindung über LDAPs TCP 636 funktioniert. (Getestet mit LDP).Da wohl die gleichen Infos auch über eine ungesicherte Verbindung gehen stellen sich Fragen. 1.) Muss oder kann man die DCs bzw. AD hier absichern ohne den AD Betrieb generell zu gefährden ? 2.) Ist das nun ein Problem oder eher Design ?3.) Habt ihr selbst LDAP Anfragen gegen AD ? Wie geht ihr damit um ? Ein älterer Artikel zum Thema: http://unixwiz.net/techtips/security-ldap-ad.html So habe ich getestet, dabei werden die angeforderten Attribute geliefert.Damit kann ein AD User, Informationen auslesen. Gesicherte Abfrage: ldapsearch -ZZ -H 'ldap://ServerX.contoso.local:389/' -D Hansi.Schmid@contoso -W -b 'OU=people,DC=contoso,DC=com' -s sub '(cn=Tom.Jones)' mail userprincipalname samaccountname Ungesicherte Abfrage:ldapsearch -H 'ldap://ServerX.contoso.local:389/' -D Hansi.Schmid@contoso -W -b 'OU=people,DC=contoso,DC=com' -s sub '(cn=Tom.Jones)' mail userprincipalname samaccountname Hintergrund/Idee/Anforderung: Das Active Diretcory läuft unter Windows 2012 R2r R2. Dort gibt es eineT Domäne namens: contoso.localIn dieser Domäne gibt es einen User "Hansi.Schmid" und eine Gruppe "Moderator". "Hansi.Schmid" ist Mitglied derGruppe "Moderator".Diese Information möchten err gerne zu Authentifizierungszwecken in einer Anwendung verwenden.In der "Web-Anwendung" möchte er zum einen mit der passenden Username / Passwort Kombination authentifzieren und zum anderenmöchten er die Information zur Gruppenzugehörigkeit ("Hansi.Schmid" ist Mitglied der Gruppe "Moderator") in der Anwendung mitbenutzen. VG & Merci Andi Zitieren Link zu diesem Kommentar
NorbertFe 2.064 Geschrieben 25. Juni 2015 Melden Teilen Geschrieben 25. Juni 2015 https://social.technet.microsoft.com/Forums/windowsserver/en-US/320777bb-c4f0-4091-82a3-0d86b8809fac/disable-non-secure-ldap-389 Also bleibt nur Port 389 von "non-trusted" Systemen zu blocken. ;) Bye Norbert Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 25. Juni 2015 Melden Teilen Geschrieben 25. Juni 2015 Wir haben auf LDAPS umgestellt :) Derzeit blocken wir 389 aber noch nicht... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.