Im Rahmen der von Microsoft angekündigten Deaktivierung von unverschlüsselten LDAP-Verbindungen für Active Directory stellt sich die Frage, wie eine in DRACOON verwendete LDAP-Verbindung auf das verschlüsselte LDAPS umgestellt werden kann.
Um diese Umstellung insbesondere im Rahmen von Active Directory vollständig umzusetzen, sind zwei verschiedene Teilaufgaben zu bewerkstelligen:
- Konfiguration des LDAP-Servers zur Unterstützung verschlüsselter Verbindungen
- Umstellung des LDAP-Konnektors in den Einstellungen der DRACOON Web App zur Verwendung dieser verschlüsselten Verbindung
1. Konfiguration des LDAP-Servers
Zur Konfiguration des LDAP-Servers ist es am sinnvollsten, die Hilfeseiten des entsprechenden Herstellers zu Rate zu ziehen – für Microsoft Active Directory ist diese in diesem Hilfeartikel beschrieben. Ein nennenswerter Hinweis zur Vervollständigung der gegebenen Anleitung ist, dass das zu verwendende Zertifikat nicht zwingend mit Windows-Bordmitteln erstellt werden muss. Hier ist es genauso gut möglich, anderweitige Tools wie OpenSSL, CFSSL oder ein durch eine Zertifizierungsstelle ausgestelltes Zertifikat (bei Verwendung einer öffentlichen verfügbaren Adresse für die AD-Server) zu verwenden.
2. Einstellungen in der DRACOON Web App
Ist der LDAP-Server fertig konfiguriert und stellt eine LDAPS-Verbindung bereit, muss nur noch der DRACOON-Server konfiguriert werden, diese zu verwenden.
Dazu kann, insofern sonst keine Änderungen am LDAP-Server vorgenommen wurden, in der DRACOON Web App unter Einstellungen > Authentifizierung > Active Directory die zu ändernde Konfiguration mit einem Klick auf das Stift-Symbol bearbeitet werden. Geändert werden muss hier zum einen das Protokoll, welches von LDAP auf LDAPS umgestellt werden muss, und für gewöhnlich zudem der LDAP-Port, welcher in der Standardeinstellung 636 für LDAPS sein sollte. Nach dem Speichern der Einstellungen verbindet sich der DRACOON Core Service mit dem angegeben LDAPS-Server und speichert sich den Fingerprint des Zertifikats ab. Dieser kann und sollte bei der Ersteinrichtung durch ein erneutes Bearbeiten der Verbindung überprüft werden, um sicherzustellen, dass es sich auch um das korrekte Zertifikat handelt. Durch die Verwendung einer Fingerprintvalidierung ist es zudem möglich, selbstsignierte Zertifikate, welche nicht von einer offiziellen Zertifizierungsstelle signiert wurden, zu verwenden.
Einstellung | LDAP | LDAPS | Handlungsanweisung | Bisherige Web App (On-Premises) |
Neue Web App (DRACOON Cloud) |
---|---|---|---|---|---|
Port für den LDAP-Server | 389 | 636 | Port ändern | Port auf 636 (Standard) stellen | LDAP-Port auf 636 stellen |
Aktivierung von LDAPS | deaktiviert | aktiviert | Einstellung aktivieren | Haken bei 'LDAPS aktivieren' setzen | Protokoll auf 'LDAPS' stellen |
Fingerprint | nicht benötigt | muss vorliegen | Frei lassen, wird durch Herstellung der ersten Verbindung befüllt – bitte anschließend prüfen | LDAP SSL Fingerprint überprüfen | LDAP SSL Fingerprint überprüfen |
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.