- Регистрация
- 24 Мар 2006
- Сообщения
- 9.860
- Благодарности
- 6.740
- Баллы
- 1.625
Честно, не знаю к чему приведет это обновление Форточной Марты, но то, что всякие линуксы и их производные, которые авторизуются по LDAP не смогу авторизоваться, ели нет TLS шифрования для LDAP. А на сколько помню, его в unix системах нет в принципе.
тема мусолится уже очень давно.
И вот на хабре выложили статью, не знаю действительно ли это те параметры, и действительно ли после их изменения оно начнет работать по LDAPS.
Но в общем знакомьтесь:
Сам еще не тестировал, но думаю сегодня-завтра попробовать.
тема мусолится уже очень давно.
И вот на хабре выложили статью, не знаю действительно ли это те параметры, и действительно ли после их изменения оно начнет работать по LDAPS.
Но в общем знакомьтесь:
В первых строках хочу заметить, что новость это уже во первых старая, во вторых мало кому на самом деле интересная.
Тем не менее, возможно кому то будет интересно узнать, что в марте 2020 года, примерно через месяц, всем использующим MS LDAP может стать немножко больно и обидно, может сломаться вход на ряд сервисов.
Странно, что в поиске по сайту этой новости (про 2020 LDAP channel binding and LDAP signing requirement for Windows) не нашлось.
TLDR: В мартовском патче ожидается изменение поведения по умолчанию. Если вы не относитесь к техническому персоналу и(или) не ставите патчи, то пост можно смело пропускать.
Что затронет: Все, что использует LDAP / LDAPS — Windows, Vmware, IPMI, и прочие Windows авторизации — например веб-сервисы с windows авторизацией (но не все).
Кому быть готовыми: Всем, у кого команда по «всему Microsoft» отделена от команд по VMware и железу.
2020 LDAP channel binding and LDAP signing requirement for Windows.
Применимо, согласно статье 4520412, к Applies to: Windows 10, version 1909; Windows 10, version 1903; Windows 10, version 1809; Windows Server 2019, all versions;
Windows 10, version 1803; Windows 10, version 1709; Windows 10, version 1703; Windows 10, version 1607;
Windows Server 2016; Windows 10; Windows 8.1; Windows Server 2012 R2; Windows Server 2012; Windows 7 Service Pack 1; Windows Server 2008 R2 Service Pack 1; Windows Server 2008 Service Pack 2
Кого это затронет:
Что делать — написано в блоге Alan La Pietra по ссылке, для слабо владеющих языком и забывшим, что google translate умеет переводить сайты целиком, все просто (но лучше свериться с оригиналом и ссылками в самом конце заметки):
В тестовом сегменте, до установки обновлений
Групповые политики уровня домена:
Групповые политики контроллеров домена:
После установки обновлений
Групповые политики контроллеров:
Контроллеры домена:
В случае проблем
Смените настройки:
Тестирование лучше начать уже сейчас.
Тем не менее, возможно кому то будет интересно узнать, что в марте 2020 года, примерно через месяц, всем использующим MS LDAP может стать немножко больно и обидно, может сломаться вход на ряд сервисов.
Странно, что в поиске по сайту этой новости (про 2020 LDAP channel binding and LDAP signing requirement for Windows) не нашлось.
TLDR: В мартовском патче ожидается изменение поведения по умолчанию. Если вы не относитесь к техническому персоналу и(или) не ставите патчи, то пост можно смело пропускать.
Что затронет: Все, что использует LDAP / LDAPS — Windows, Vmware, IPMI, и прочие Windows авторизации — например веб-сервисы с windows авторизацией (но не все).
Кому быть готовыми: Всем, у кого команда по «всему Microsoft» отделена от команд по VMware и железу.
2020 LDAP channel binding and LDAP signing requirement for Windows.
Применимо, согласно статье 4520412, к Applies to: Windows 10, version 1909; Windows 10, version 1903; Windows 10, version 1809; Windows Server 2019, all versions;
Windows 10, version 1803; Windows 10, version 1709; Windows 10, version 1703; Windows 10, version 1607;
Windows Server 2016; Windows 10; Windows 8.1; Windows Server 2012 R2; Windows Server 2012; Windows 7 Service Pack 1; Windows Server 2008 R2 Service Pack 1; Windows Server 2008 Service Pack 2
Кого это затронет:
- Всех, использующих Windows в целом
- Всех, использующих LDAP/LDAPS для Vmware
- Всех, использующих LDAP/LDAPS для прочих сервисов — IPMI всех видов
- Интересно, как это отразится на Active directory as service
Что делать — написано в блоге Alan La Pietra по ссылке, для слабо владеющих языком и забывшим, что google translate умеет переводить сайты целиком, все просто (но лучше свериться с оригиналом и ссылками в самом конце заметки):
В тестовом сегменте, до установки обновлений
- Установите все требуемые обновления
- На всех DC добавьте
Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v “16 LDAP Interface Events” /t REG_DWORD /d 2 - на всех DC отслеживайте события 2887 и 2889
- на всех DC настройте LDAP Channel Binding = 1 (До обновлений данный параметр = 0)
Групповые политики уровня домена:
Код:
Network security: LDAP client signing requirements: None (Before Jan 2020 updates this setting is Negotiate Signing)Групповые политики контроллеров домена:
- Group Policy (Domaincontrollers): Domain controller: LDAP server signing requirements: None
После установки обновлений
Групповые политики контроллеров:
- Domain controller: LDAP server signing requirements: Require (from Update)
Контроллеры домена:
- All DCs: LDAP Channel Binding = 1 (from Update)
- на всех DC отслеживайте события 2888
В случае проблем
Смените настройки:
- Domain controller: LDAP server signing requirements: None
- на всех DC отслеживайте события 2887 и 2889
Тестирование лучше начать уже сейчас.
Сам еще не тестировал, но думаю сегодня-завтра попробовать.