LDAPS AD Erfahrungen?

Jürgen Brauckmann brauckmann at dfn-cert.de
Mi Feb 26 09:00:29 CET 2020


Hallo!

Am 26.02.20 um 08:16 schrieb Oziminski, Simon:
> Liebe AAI-Nutzer(innen),
> 
> ich wollte kurz nachfragen, ob es Erfahrungen mit der Anbindung ans AD über LDAPS gibt, da Microsoft LDAP nicht mehr unterstützen wird.
> 
> Wir bekommen im DC den Fehlereintrag " Algorithmus passt nicht". Bei den meisten Systemen funktioniert es bisher nicht. 

Aus der PKI- (nicht Microsoft AD-) Praxis würde ich da in einem ersten
Schritt folgendermaßen ran gehen:

- CA- und AD-Zertifikat anschauen:
   * Schlüssel >= 2048 Bit (für RSA)
   * Hash-Algorithmus SHA256 (nicht MD5 oder SHA-1).

Falls nicht, gibt es diverse Anleitungen zum Umstellen der internen CA
auf SHA256, z.B.
https://www.frankysweb.de/migration-stammzertifizierungsstelle-sha1-zu-sha256-hashalgorithmus/
Wie relevant diese Anleitungen noch sind, entzieht sich aber leider
meiner Kenntnis.


- Manueller Test vom TLS-Verbindungsaufbau von einem Linux-System aus:
 openssl s_client -connect <ad-hostname>:636

Wenn erfolgreich, sieht man viel TLS-Protokoll-Output und das Kommando
wartet auf LDAP-Kommunikation. Wenn nicht, müsste da irgendwo "error"
stehen und möglicherweise eine Ursache.


> Ich habe es schon über die Packet Verwaltung ins Debian geladen, in
den Tomcat Keystore und unter /etc/ssl/certs/... hinterlegt.

Als Ergänzung: Nach Ablage der Datei in /etc/ssl/certs muss
üblicherweise nochmal c_rehash /etc/ssl/certs aufgerufen werden, um die
berüchtigten openssl Hash-Links zu erzeugen. Die dort abgelegten Dateien
dürfen nicht rein binär sein, sondern müssen im "PEM"-Format sein, also
mit -----BEGIN CERTIFICATE und in Base64 Kodierung.

Viele Grüße
   Jürgen Brauckmann

-- 
Dipl.-Inform. Jürgen Brauckmann (PKI Team)

https://blog.pki.dfn.de

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-580
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Nagelsweg 41, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski


Mehr Informationen über die Mailingliste Aai-users