Zuletzt überarbeitet am 25.1.2020
Zur Version für technisch Versierte:
Was wird passieren:
Microsoft wird ein Update veröffentlichen, mit dem nicht signierte LDAP-Anforderungen an Domänencontroller deaktiviert werden.
Es ist daher wichtig rechtzeitig aus „Secure LADP“ umzustellen.
Dieses Update wird im März dieses Jahres „2020“ veröffentlicht. Mehr Informationen zu dem Update hier.
Welches Risiko bedeutet das?
Anbindungen an Klartext LDAP zum Zwecke der Authentifizierung uns Autorisierung werden nach einspielen der entsprechenden Patches nicht mehr funktionieren.
Erst nach Umstellung auf Secure LDAP werden betroffene Dienste wieder funktionieren.
Warum?
Microsoft empfiehlt Administratoren, die in ADV190023 beschriebenen Änderungen zur Absicherung vorzunehmen, da bei Verwendung der Standardeinstellungen eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen in Microsoft Windows besteht.
Die Sicherheitsanfälligkeit kann es einem „Man in the middle“ Angreifer ermöglichen, eine Authentifizierungsanforderung erfolgreich an einen Windows-LDAP-Server weiterzuleiten für das keine Signierung Verbindungen erforderlich ist.
Die Sicherheit eines Verzeichnisservers kann erheblich verbessert werden, indem der Server so konfiguriert wird, dass LDAP-Bindungen mit einfacher Authentifizierung und ohne Signierung (also ohne SSL / TLS-verschlüsselte Verbindung) abgelehnt werden.
Was ist zu tun?
Die Voraussetzungen um Citrix ADC (oder andere) sicher n LDAP anbinden zu können:
- An die Domänencontroller muss ein Zertifikat gebunden sein, damit LDAPS aktiviert ist.
- Wie es sein soll, haben Sie den Zugriff auf die Domänencontroller im LAN über die ADCs im LAN im per Lastenausgleich angebunden.
Dann haben Sie die DMZ-NetScaler auf diesen Load Balancer im LAN ausgerichtet. - Wenn Sie den Load Balancer von Klartext LDAP 389 auf LDAPS 636 ändern, dann müssen Sie dem Load Balancer auch ein Zertifikat hinzufügen.
Carl Stalhood hat hier einen Artikel zum Einrichtenden von LDAPS für Citrix ADC geschrieben - Fall LDAPS Port 636 anstatt LDAP Port 389 verwendet werden soll, müssen die Firewalls Regel geändert werden (*Hinweis1)
*Hinweis1:
Es ist möglich TLS auch über Port 389 verwenden.
Auf diesem Wege müssen keine Firewall-Ports geändert werden.
Dies nennt man jedoch nicht LDAPS, sondern StartTLS.
So wird es gemacht:
Öffnen Sie Ihren vorhandenen LDAP-Server und ändern Sie den Sicherheitstyp zu SSL.
Dadurch wird auch der auch der Port auf 636 geändert.
Ab diesem Moment ist es auch möglich, Benutzer-Passwort Änderungen über Secure LDAP zu erlauben.
Wenn also das Passwort laut AD Vorgaben geändert werden muss , fragt der ADC die Benutzer nach neuen Anmeldeinformationen.
Aktiviert wird das durch folgendes Kontrollkästchen in den Einstellungen des LDAP Servers:
Mit Hilfe des Buttons „Test LDAP Reachability“ kann überprüft werden ob Secure LDAP auf diesem Port auch erreichbar ist:
Falls Sie die Einstellungen nicht einfach ändern wollen, sonder Wert legen auf einen kontrollierten Change Prozess legen
in dem diese Änderungen ohne Fehler und Service Ausfälle ablaufen lassen wollen wenden Sie sich an den Citrix Partner Ihres Vertrauens.