• Уважаемые гости и новички, приветствуем Вас на нашем форуме
    Здесь вы можете найти ответы практически на все свои вопросы о серии игр «Готика» (в том числе различных модах на нее), «Ведьмак», «Ризен», «Древние свитки», «Эра дракона» и о многих других играх. Можете также узнать свежие новости о разработке новых проектов, восхититься творчеством наших форумчан, либо самим показать, что вы умеете. Ну и наконец, можете обсудить общие увлечения или просто весело пообщаться с посетителями «Таверны».

    Чтобы получить возможность писать на форуме, оставьте сообщение в этой теме.
    Удачи!
  • Друзья, доброго времени суток!
    Стартовал новый литературный конкурс от "Ордена Хранителей" - "Пираты Миртанского моря".
    Каждый может принять в нём участие и снискать славу и уважение, а в случае занятия призового места ещё и получить награду. Дерзайте

Поздравляем Усиление LDAP авторизации в марте 2020 года

MEG@VOLT

★★★★★★★★★
ТехАдмин
Регистрация
24 Мар 2006
Сообщения
9.896
Благодарности
6.770
Баллы
1.625
Честно, не знаю к чему приведет это обновление Форточной Марты, но то, что всякие линуксы и их производные, которые авторизуются по LDAP не смогу авторизоваться, ели нет TLS шифрования для LDAP. А на сколько помню, его в unix системах нет в принципе.
тема мусолится уже очень давно.
И вот на хабре выложили статью, не знаю действительно ли это те параметры, и действительно ли после их изменения оно начнет работать по LDAPS.
Но в общем знакомьтесь:
В первых строках хочу заметить, что новость это уже во первых старая, во вторых мало кому на самом деле интересная.

Тем не менее, возможно кому то будет интересно узнать, что в марте 2020 года, примерно через месяц, всем использующим MS LDAP может стать немножко больно и обидно, может сломаться вход на ряд сервисов.

Странно, что в поиске по сайту этой новости (про 2020 LDAP channel binding and LDAP signing requirement for Windows) не нашлось.

TLDR: В мартовском патче ожидается изменение поведения по умолчанию. Если вы не относитесь к техническому персоналу и(или) не ставите патчи, то пост можно смело пропускать.
Что затронет: Все, что использует LDAP / LDAPS — Windows, Vmware, IPMI, и прочие Windows авторизации — например веб-сервисы с windows авторизацией (но не все).

Кому быть готовыми: Всем, у кого команда по «всему Microsoft» отделена от команд по VMware и железу.


jnrt3qng5nxaok1-3xisksatvqc.jpeg

2020 LDAP channel binding and LDAP signing requirement for Windows.

Применимо, согласно статье 4520412, к Applies to: Windows 10, version 1909; Windows 10, version 1903; Windows 10, version 1809; Windows Server 2019, all versions;
Windows 10, version 1803; Windows 10, version 1709; Windows 10, version 1703; Windows 10, version 1607;
Windows Server 2016; Windows 10; Windows 8.1; Windows Server 2012 R2; Windows Server 2012; Windows 7 Service Pack 1; Windows Server 2008 R2 Service Pack 1; Windows Server 2008 Service Pack 2

Кого это затронет:


  • Всех, использующих Windows в целом
  • Всех, использующих LDAP/LDAPS для Vmware
  • Всех, использующих LDAP/LDAPS для прочих сервисов — IPMI всех видов
  • Интересно, как это отразится на Active directory as service

Что делать — написано в блоге Alan La Pietra по ссылке, для слабо владеющих языком и забывшим, что google translate умеет переводить сайты целиком, все просто (но лучше свериться с оригиналом и ссылками в самом конце заметки):

В тестовом сегменте, до установки обновлений


  • Установите все требуемые обновления
  • На всех DC добавьте

    Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v “16 LDAP Interface Events” /t REG_DWORD /d 2
  • на всех DC отслеживайте события 2887 и 2889
  • на всех DC настройте LDAP Channel Binding = 1 (До обновлений данный параметр = 0)

Групповые политики уровня домена:
Код:
Network security: LDAP client signing requirements: None (Before Jan 2020 updates this setting is Negotiate Signing)

Групповые политики контроллеров домена:


  • Group Policy (Domaincontrollers): Domain controller: LDAP server signing requirements: None

После установки обновлений

Групповые политики контроллеров:


  • Domain controller: LDAP server signing requirements: Require (from Update)

Контроллеры домена:


  • All DCs: LDAP Channel Binding = 1 (from Update)
  • на всех DC отслеживайте события 2888

В случае проблем

Смените настройки:


  • Domain controller: LDAP server signing requirements: None
  • на всех DC отслеживайте события 2887 и 2889

Тестирование лучше начать уже сейчас.

Сам еще не тестировал, но думаю сегодня-завтра попробовать.
 
Сверху Снизу