Jump to content

LDAP Klartext Anfragen an AD TCP 389 verhindern/absichern ?

andreas222

Von andreas222
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

andreas222 Enthusiast

andreas222   12

Geschrieben
Geschrieben

Hallo zusammen, hallo Nils,

 

 

hier gibt es ja schon ähnliche Fragen zum Thema LDAP/AD.
Wie es aussieht ist es möglich mittels "ldapsearch" unter Linux und einem ungesicherten Login gegen AD, Informationen aus dem AD auszulesen.
Es muss nur eine gültige AD UserID/Passwort Kombination bekannt sein.

 

Im Testsystem habe ich auf den DCs zusätzlich Zertifikate hinterlegt. Eine gesicherte Verbindung über LDAPs TCP 636 funktioniert. (Getestet mit LDP).
Da wohl die gleichen Infos auch über eine ungesicherte Verbindung gehen stellen sich Fragen.

 

1.) Muss oder kann man die DCs bzw. AD hier absichern ohne den AD Betrieb generell zu gefährden ?

2.) Ist das nun ein Problem oder eher Design ?
3.) Habt ihr selbst LDAP Anfragen gegen AD ? Wie geht ihr damit um ?

 

 

Ein älterer Artikel zum Thema:

http://unixwiz.net/techtips/security-ldap-ad.html

 

So habe ich getestet, dabei werden die angeforderten Attribute geliefert.
Damit kann ein AD User, Informationen auslesen.

 

Gesicherte Abfrage:

ldapsearch -ZZ -H 'ldap://ServerX.contoso.local:389/' -D Hansi.Schmid@contoso -W -b 'OU=people,DC=contoso,DC=com' -s sub '(cn=Tom.Jones)' mail userprincipalname samaccountname

 

Ungesicherte Abfrage:
ldapsearch -H 'ldap://ServerX.contoso.local:389/' -D Hansi.Schmid@contoso -W -b 'OU=people,DC=contoso,DC=com' -s sub '(cn=Tom.Jones)' mail userprincipalname samaccountname

 

 

 

Hintergrund/Idee/Anforderung:

 

Das Active Diretcory läuft unter Windows 2012 R2r R2. Dort gibt es eineT Domäne namens: contoso.local
In dieser Domäne gibt es einen User "Hansi.Schmid" und eine Gruppe "Moderator". "Hansi.Schmid" ist Mitglied der
Gruppe "Moderator".

Diese Information möchten err gerne zu Authentifizierungszwecken in einer Anwendung verwenden.
In der "Web-Anwendung" möchte er zum einen mit der passenden Username / Passwort Kombination authentifzieren und zum anderen
möchten er die Information zur Gruppenzugehörigkeit ("Hansi.Schmid" ist Mitglied der Gruppe "Moderator") in der Anwendung mitbenutzen.

 

VG & Merci

Andi

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...