- PVSM.RU - https://www.pvsm.ru -
В первых строках хочу заметить, что новость это уже во первых старая, во вторых мало кому на самом деле интересная.
Тем не менее, возможно кому то будет интересно узнать, что в марте 2020 года, примерно через месяц, всем использующим MS LDAP может стать немножко больно и обидно, может сломаться вход на ряд сервисов.
Странно, что в поиске по сайту этой новости (про 2020 LDAP channel binding and LDAP signing requirement for Windows) не нашлось.
TLDR: В мартовском патче ожидается изменение поведения по умолчанию. Если вы не относитесь к техническому персоналу и(или) не ставите патчи, то пост можно смело пропускать.
Что затронет: Все, что использует LDAP / LDAPS — Windows, Vmware, IPMI, и прочие Windows авторизации — например веб-сервисы с windows авторизацией (но не все).
Кому быть готовыми: Всем, у кого команда по «всему Microsoft» отделена от команд по VMware и железу.
2020 LDAP channel binding and LDAP signing requirement for Windows
Применимо, согласно статье 4520412 [1], к
Applies to: Windows 10, version 1909; Windows 10, version 1903; Windows 10, version 1809; Windows Server 2019, all versions;
Windows 10, version 1803; Windows 10, version 1709; Windows 10, version 1703; Windows 10, version 1607;
Windows Server 2016; Windows 10; Windows 8.1; Windows Server 2012 R2; Windows Server 2012; Windows 7 Service Pack 1; Windows Server 2008 R2 Service Pack 1; Windows Server 2008 Service Pack 2
Кого это затронет:
— Всех, использующих Windows в целом
— Всех, использующих LDAP/LDAPS для Vmware
— Всех, использующих LDAP/LDAPS для прочих сервисов — IPMI всех видов
— Интересно, как это отразится на Active directory as service
Что делать — написано в блоге Alan La Pietra по ссылке [2], для слабо владеющих языком и забывшим, что google translate умеет переводить сайты целиком, все просто (но лучше свериться с оригиналом и ссылками в самом конце заметки):
В тестовом сегменте, до установки обновлений
— Установите все требуемые обновления
— На всех DC добавьте
Reg Add HKLMSYSTEMCurrentControlSetServicesNTDSDiagnostics /v “16 LDAP Interface Events” /t REG_DWORD /d 2
— на всех DC отслеживайте события 2887 и 2889
— на всех DC настройте LDAP Channel Binding = 1 (До обновлений данный параметр = 0)
Групповые политики уровня домена:
Network security: LDAP client signing requirements: None (Before Jan 2020 updates this setting is Negotiate Signing)
Групповые политики контроллеров домена:
– Group Policy (Domaincontrollers): Domain controller: LDAP server signing requirements: None
После установки обновлений
Групповые политики контроллеров:
– Domain controller: LDAP server signing requirements: Require (from Update)
Контроллеры домена:
– All DCs: LDAP Channel Binding = 1 (from Update)
— на всех DC отслеживайте события 2888
В случае проблем
Смените настройки:
– Domain controller: LDAP server signing requirements: None
— на всех DC отслеживайте события 2887 и 2889
Тестирование лучше начать уже сейчас.
За наведение проблему и решение спасибо одному малоизвестному бложику [3], одному из немногочисленных оставшихся русскоязычных технических блогов [4].
Для VMware аналогичная ситуация описана по данной ссылке [3] на русском, здесь (VMware vSphere & Microsoft LDAP Channel Binding & Signing (ADV190023) [5]) на английском
Прочие ссылки
support.microsoft.com/en-us/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry [6]
blogs.technet.microsoft.com/russellt/2016/01/13/identifying-clear-text-ldap-binds-to-your-dcs [7]
kurtroggen.wordpress.com/2018/08/03/are-you-using-ldap-over-ssl-tls [8]
Всем спасибо за внимание.
Автор: Иван Хрюнович Моржов
Источник [9]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/windows/345377
Ссылки в тексте:
[1] статье 4520412: https://support.microsoft.com/en-us/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows
[2] блоге Alan La Pietra по ссылке: https://techcommunity.microsoft.com/t5/Core-Infrastructure-and-Security/LDAP-Channel-Binding-and-LDAP-Signing-Requirements-Update-now/ba-p/921536
[3] малоизвестному бложику: https://www.vmgu.ru/news/vmware-vsphere-and-microsoft-ldap-channel-binding-signing
[4] немногочисленных оставшихся русскоязычных технических блогов: https://habr.com/ru/post/412501/
[5] VMware vSphere & Microsoft LDAP Channel Binding & Signing (ADV190023): https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html
[6] support.microsoft.com/en-us/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry: https://support.microsoft.com/en-us/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry
[7] blogs.technet.microsoft.com/russellt/2016/01/13/identifying-clear-text-ldap-binds-to-your-dcs: https://blogs.technet.microsoft.com/russellt/2016/01/13/identifying-clear-text-ldap-binds-to-your-dcs
[8] kurtroggen.wordpress.com/2018/08/03/are-you-using-ldap-over-ssl-tls: https://kurtroggen.wordpress.com/2018/08/03/are-you-using-ldap-over-ssl-tls/
[9] Источник: https://habr.com/ru/post/486698/?utm_source=habrahabr&utm_medium=rss&utm_campaign=486698
Нажмите здесь для печати.