LDAP commands mit LDAPS nutzen --> Änderungen benötigt

Alle Fragen rund Antworten rund um die ACMP Client Commands und Container
Antworten
Benutzeravatar
ngottschalk
Beiträge: 293
Registriert: Mi Sep 08, 2010 12:57 pm

Hallo Aagon Support,

da ACMP seit 5.4.9 nun auch LDAPS mit signierten Anfragen unterstützen sollte, habe ich mich mit der entsprechenden Überarbeitung unserer CCs beschäftigt und habe einen Fehler im "Modify LDAP Attribute" command festgestellt (ich gehe davon aus, dass dies auch für die anderen LDAP commands der Fall ist); Dieses wurde in der Vergangenheit genutzt, um im Hintergrund vom Server aus Änderungen am AD vorzunehmen, weshalb ein User DN mit Passwort angegeben wurde.
Nach der Änderung des Ports zur Nutzung von LDAPS anstelle von LDAP bekam ich Fehlermeldungen zurück, dass die Anmeldedaten ungültig seien (diese wurden natürlich nicht geändert). Daraufhin wurde ersteinmal sichergestellt, dass der Server das AD hier am Standort korrekt ansprechen kann, indem statt des expliziten Logins der Windows Login (ACMP Console wurde als entsprechender User gestartet) genutzt wurde und dies das erwartete Ergebnis lieferte.

Bei der Recherche der Fehler

Error: Failed to connect to LDAP-Server.
The user name or password is incorrect (0x8007052E)
Error Code: -2146893044
Error Text: 8009030C: LdapErr: DSID-0C09056D, comment: AcceptSecurityContext error, data 52e, v2580
Provider: LDAP Provider

zeigte sich dann, dass das Command in dieser Form scheinbar eine falsche Authentifizierung zu nutzen versucht. Durch Zufall habe ich einen Hinweis bzgl. des Formats der Anmeldedaten finden können, der nahegelegt hat, statt des DN's den UPN zu verwenden. Da die ACMP Console die Eingabe scheinbar nicht weiter validiert und durchreicht, konnte ich dies umsetzen und zu meinem Erstaunen hat die Verbindung damit funktioniert.
Ich vermute, dass durch das abweichende Format statt eines unsignierten Simple Binds ein anderer Bind durchgeführt wird, der den Anforderungen an signierte Anfragen gerecht wird.

Hier hätte ich erwartet, dass die Commands ohne weitere Änderungen (abgesehen von den offensichtlichen Änderungen des Port und ggf. einer Checkbox zum De-/Aktvieren von LDAPS) funktionieren.
Mit freundlichen Grüßen

Niklas Gottschalk (gottschalk@zoller-usa.com)
IT Systems Administrator
Zoller Inc.
Nach oben
twahl
Beiträge: 366
Registriert: Mo Mär 03, 2014 11:21 am

Hallo Niklas,

LDAPS soll in den Client Command Bausteinen mit der ACMP Version 5.5. umgesetzt werden ( ACMP-26773 ), genau wie die LDAPS Unterstützung bei der AD-Anmeldung in der Console ( ACMP-17812 ).
Mit ACMP 5.4.9 wurde die Unterstützung für LDAP Signing umgesetzt. Die AD-Authentifizierung an der ACMP Console und in den AD-Client Command Befehlen berücksichtigt jetzt standardmäßig die sicherere LDAP-Signaturanforderung der ADSI API, wie in ADV190023 von Microsoft empfohlen.
Mit freundlichen Grüßen,

Tobias Wahl
Aagon GmbH
Nach oben
Benutzeravatar
ngottschalk
Beiträge: 293
Registriert: Mi Sep 08, 2010 12:57 pm

Hallo Tobias,

soll heißen, die Ankündigung
Die AD-Authentifizierung an der ACMP Console und in den AD-Client Command Befehlen berücksichtigt jetzt standardmäßig die sicherere LDAP-Signaturanforderung der ADSI API, wie in ADV190023 von Microsoft empfohlen
bezieht sich nur auf die Option "Windows Benutzer (Nur für Active Directory)" unter "Authentifizierung", sodass das Command für eine Nutzung im Hintergrund ohne angemeldeten Benutzer unbrauchbar ist?
Capture.JPG
Capture.JPG (54.36 KiB) 6125 mal betrachtet
Mit freundlichen Grüßen

Niklas Gottschalk (gottschalk@zoller-usa.com)
IT Systems Administrator
Zoller Inc.
Nach oben
Antworten

Zurück zu „Desktop Automation“