LDAP commands mit LDAPS nutzen --> Änderungen benötigt
Verfasst: Di Feb 25, 2020 9:18 pm
Hallo Aagon Support,
da ACMP seit 5.4.9 nun auch LDAPS mit signierten Anfragen unterstützen sollte, habe ich mich mit der entsprechenden Überarbeitung unserer CCs beschäftigt und habe einen Fehler im "Modify LDAP Attribute" command festgestellt (ich gehe davon aus, dass dies auch für die anderen LDAP commands der Fall ist); Dieses wurde in der Vergangenheit genutzt, um im Hintergrund vom Server aus Änderungen am AD vorzunehmen, weshalb ein User DN mit Passwort angegeben wurde.
Nach der Änderung des Ports zur Nutzung von LDAPS anstelle von LDAP bekam ich Fehlermeldungen zurück, dass die Anmeldedaten ungültig seien (diese wurden natürlich nicht geändert). Daraufhin wurde ersteinmal sichergestellt, dass der Server das AD hier am Standort korrekt ansprechen kann, indem statt des expliziten Logins der Windows Login (ACMP Console wurde als entsprechender User gestartet) genutzt wurde und dies das erwartete Ergebnis lieferte.
Bei der Recherche der Fehler
Error: Failed to connect to LDAP-Server.
The user name or password is incorrect (0x8007052E)
Error Code: -2146893044
Error Text: 8009030C: LdapErr: DSID-0C09056D, comment: AcceptSecurityContext error, data 52e, v2580
Provider: LDAP Provider
zeigte sich dann, dass das Command in dieser Form scheinbar eine falsche Authentifizierung zu nutzen versucht. Durch Zufall habe ich einen Hinweis bzgl. des Formats der Anmeldedaten finden können, der nahegelegt hat, statt des DN's den UPN zu verwenden. Da die ACMP Console die Eingabe scheinbar nicht weiter validiert und durchreicht, konnte ich dies umsetzen und zu meinem Erstaunen hat die Verbindung damit funktioniert.
Ich vermute, dass durch das abweichende Format statt eines unsignierten Simple Binds ein anderer Bind durchgeführt wird, der den Anforderungen an signierte Anfragen gerecht wird.
Hier hätte ich erwartet, dass die Commands ohne weitere Änderungen (abgesehen von den offensichtlichen Änderungen des Port und ggf. einer Checkbox zum De-/Aktvieren von LDAPS) funktionieren.
da ACMP seit 5.4.9 nun auch LDAPS mit signierten Anfragen unterstützen sollte, habe ich mich mit der entsprechenden Überarbeitung unserer CCs beschäftigt und habe einen Fehler im "Modify LDAP Attribute" command festgestellt (ich gehe davon aus, dass dies auch für die anderen LDAP commands der Fall ist); Dieses wurde in der Vergangenheit genutzt, um im Hintergrund vom Server aus Änderungen am AD vorzunehmen, weshalb ein User DN mit Passwort angegeben wurde.
Nach der Änderung des Ports zur Nutzung von LDAPS anstelle von LDAP bekam ich Fehlermeldungen zurück, dass die Anmeldedaten ungültig seien (diese wurden natürlich nicht geändert). Daraufhin wurde ersteinmal sichergestellt, dass der Server das AD hier am Standort korrekt ansprechen kann, indem statt des expliziten Logins der Windows Login (ACMP Console wurde als entsprechender User gestartet) genutzt wurde und dies das erwartete Ergebnis lieferte.
Bei der Recherche der Fehler
Error: Failed to connect to LDAP-Server.
The user name or password is incorrect (0x8007052E)
Error Code: -2146893044
Error Text: 8009030C: LdapErr: DSID-0C09056D, comment: AcceptSecurityContext error, data 52e, v2580
Provider: LDAP Provider
zeigte sich dann, dass das Command in dieser Form scheinbar eine falsche Authentifizierung zu nutzen versucht. Durch Zufall habe ich einen Hinweis bzgl. des Formats der Anmeldedaten finden können, der nahegelegt hat, statt des DN's den UPN zu verwenden. Da die ACMP Console die Eingabe scheinbar nicht weiter validiert und durchreicht, konnte ich dies umsetzen und zu meinem Erstaunen hat die Verbindung damit funktioniert.
Ich vermute, dass durch das abweichende Format statt eines unsignierten Simple Binds ein anderer Bind durchgeführt wird, der den Anforderungen an signierte Anfragen gerecht wird.
Hier hätte ich erwartet, dass die Commands ohne weitere Änderungen (abgesehen von den offensichtlichen Änderungen des Port und ggf. einer Checkbox zum De-/Aktvieren von LDAPS) funktionieren.