Die von Microsoft ursprünglich für März 2020 angekündigte Änderung der Defaults bzgl. LDAP Channel Binding und LDAP Signing Requirements wurde von Microsoft weiter verschoben. Kunden, die eine AEB Engine, wie beispielsweise für Trade Compliance Management oder Carrier Connect in einem eigenen Rechenzentrum mit LDAP betreiben, weist AEB auf diese anstehende Änderung hin. Diese hat zur Folge, dass Plain LDAP (TCP 389) nicht mehr funktionieren wird. AEB empfiehlt diesen Kunden den Umstieg von LDAP auf LDAPS. Als Kunde im AEB Rechenzentrum haben Sie keinen Handlungsbedarf.
Update Herbst 2021:
Microsoft plant aktuell und in absehbarer Zukunft nicht die LDAP-Kanalbindung und LDAP-Signaturanforderung (LDAPS) standardmäßig durch einen Patch auf Active-Directory-Servern zu aktivieren.
Aber Microsoft empfiehlt, dass Administratoren LDAP-Signierung und LDAP-Kanalbindung wie empfohlen konfigurieren. Lesen Sie hierzu auch: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023.
Auch AEB empfiehlt allen Kunden, die eine AEB Engine in einem eigenen Rechenzentrum betreiben und die innerhalb dieses AEB Produkts eine konfigurierte LDAP Anbindung einsetzen - alleine schon aus Sicherheitsgründen - die Zeit jetzt zu nutzen und LDAP Zugriffe auf LDAPs (TCP 636 SSL) umzustellen.
Folgende Einstellungen nehmen Sie hierzu als Administrator in der AEB Engine vor:
- Öffnen Sie Ihre AEB Engine. Sie müssen Administratorenrechte besitzen.
- Klicken Sie in der Zentrale Administration – Verbindungseinstellungen – X.509-Zertifikate.
Importieren Sie Ihr bereitgestelltes Zertifikat. Sie benötigen lediglich einen Import des Zertifikates in die AEB Engine. Ein zentraler Import des Zertifikats auf dem Server wird nicht benötigt.
- Klicken Sie in der Zentrale Benutzerverwaltung – Zugriffsrechte – LDAP-Einstellungen.
- Wählen Sie Öffnen, um den unten hinterlegten LDAP-Host-Eintrag zu öffnen.
- Hinterlegen Sie im Feld Host den Hostnamen Ihres Domain Controllers.
- Aktivieren Sie die Option SSL verwenden.
- Hinterlegen Sie im Feld Port den Port „636“.
- Testen Sie die LDAP-Verbindung, indem Sie auf Verbindung testen klicken
Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.