LDAP Signing und Channel Binding unter Linux

Das Security Advisory "ADV190023" [1] wurde von Microsoft bereits im August 2019 veröffentlicht. Hierin kündigte der Hersteller an, dass die Default-Einstellungen für das Channel Binding und das LDAP Signing zukünftig geändert werden, um somit eine sichere Kommunikation zwischen LDAP-Clients und einem Domänencontroller zu gewährleisten. Die Ankündigung hat einiges an Aufsehen erregt und die angekündigten Änderungen wurden seitdem auch mehrmals verschoben. Die letzte Information von Microsoft besagt, dass die Änderungen nun mit einem Update Mitte bis Ende des Jahres 2020 erfolgen sollen.

Aber worum geht es nun überhaupt in dem Microsoft-Advisory? Kurz zusammengefasst lässt sich sagen, dass Microsoft in Zukunft nur noch Verbindungen zu einem Active Directory (AD) zulässt, die signiert sind. Des Weiteren muss für einen erfolgreichen Verbindungsaufbau zu der LDAP-Instanz eines Domänencontroller der anfragende Client ein Channel Binding Token (CBT) präsentieren können, solange die Verbindung über einen sicheren SSL/TLS-Kanal läuft. Schauen wir uns die beiden Punkte im Folgenden nun etwas näher an.

LDAP Signing aktivieren

Möchten Sie sich mit einem bestehenden Benutzerkonto an einem Domänencontroller anmelden, existieren hierfür grundsätzlich unterschiedliche Methoden. Die einfachste Variante wird als "LDAP Simple Bind" bezeichnet. Hierfür authentifizieren Sie sich einfach mithilfe Ihres Benutzernamens und des dazugehörigen Passworts. Das folgende Beispiel zeigt eine einfache Abfrage an das AD mittels »ldapsearch« :

ldapsearch -xLLL -H ldap://ad1.win2016.test -b 'DC=win2016,DC=test' -D 'CN=Administrator,CN=Users,DC=win2016,DC=test' -W samaccountname=Admnistrator DN

dn: CN=Administrator,CN=Users,DC=win2016,DC=test

Eine solche Abfrage ist komplett ungesichert, da

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.