Dabinam 1 Geschrieben 20. Dezember 2021 Melden Teilen Geschrieben 20. Dezember 2021 Hallo, ich habe eine Frage zu „LDAP channel binding“ und „LDAP signing“ zwischen einem Windows DC und einem Ubuntu Server. Der Ubuntu Server baut eine Verbindung zu unserem AD auf und er DC logt in der Ereignisanzeige (Directory Service) die ID 2889, „Der folgende Client hat eine SASL-LDAP-Bindung (Verhandlung/Kerberos/NTLM/Digest) durchgeführt, ohne eine Signatur anzufordern (Integritätsüberprüfung), oder er hat eine einfache Bindung über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung) hergestellt.“ Kann mir jemand sagen, wie ich die Verbindung zwischen dem Ubuntu und unserem DC signieren kann. Eine eigene CA haben wir nicht. Vielen Dank schon mal. Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 20. Dezember 2021 Melden Teilen Geschrieben 20. Dezember 2021 Moin, siehe Abschnitt "GSSAPI" unter https://linux.die.net/man/5/ldap.conf . Allerdings ist es in Bezug auf ein mögliches Abhören von Credentials nicht sicherer als was ihr jetzt macht, nur in Bezug auf Replay. Ihr solltet daher überlegen, ob nicht die Zeit gekommen ist, euren DCs Zertifikate zu verpassen und auf LDAPS zu wechseln. @NilsK wird gleich sagen, PKI ist böse, wenn man nicht weiß, was man tut, und er hat nicht unrecht. Andererseits, Credentials unverschlüsselt übertragen ist auch böse. 2 Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 20. Dezember 2021 Melden Teilen Geschrieben 20. Dezember 2021 Moin, PKI ist böse, wenn man nicht weiß, was man tut. Gruß, Nils 5 Zitieren Link zu diesem Kommentar
Dabinam 1 Geschrieben 20. Dezember 2021 Autor Melden Teilen Geschrieben 20. Dezember 2021 Danke für die Infos. Mit einer, natürlich gut überlegten, PKI-Infrastruktur werden wir uns wohl auseinander setzten müssen. Im nächsten Jahr, wenn man am Anfang des Jahres noch denk man hat Zeit und schwupps ist es schon Sommer und man muss in den Urlaub und kurz danach ist es auch schon Herbst und dann lohnt es sich ja gar nicht mehr was anzufangen, da das Jahr schon fast wieder rum ist... Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 20. Dezember 2021 Melden Teilen Geschrieben 20. Dezember 2021 Moin, Also, in Wirklichkeit ist eine PKI auch keine Raketenwissenschaft. Sie ist nur hinreichend kompliziert, sodass man in der freien Wildbahn alles, was man falsch oder schlecht machen kann, üblicherweise auch falsch oder schlecht gemacht antrifft. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 20. Dezember 2021 Melden Teilen Geschrieben 20. Dezember 2021 Das schöne daran ist, dass man all das was man falsch oder schlecht machen konnte und gemacht hat, erst deutlich später erkennt. ;) Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 21. Dezember 2021 Melden Teilen Geschrieben 21. Dezember 2021 Moin, Oder um die Dinge einfach mal beim Namen zu nennen: ich empfehle kompetente Beratung. Ein Buch kann ich zwar auch empfehlen (das von Rheinwerk), aber leider fehlen da die konkreten Anleitungen, wie man es nach Best Practice wirklich aufbaut. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 21. Dezember 2021 Melden Teilen Geschrieben 21. Dezember 2021 (bearbeitet) vor 56 Minuten schrieb NilsK: Ein Buch kann ich zwar auch empfehlen (das von Rheinwerk) Ich schließe mich an, denn ich hab's selber auch hier liegen und gebraucht. bearbeitet 21. Dezember 2021 von MurdocX Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.