Guten Tag zusammen,
Microsoft plante ja bereits im ersten Halbjahr 2020 ein Update, ab welchem LDAP Abfragen ohne Verschlüsselung nicht mehr funktionieren. Jetzt ist es ins zweite Halbjahr verschoben worden.
Habt Ihr schon einen Workaround für eure LDAPsearch bzw. die TLS oder LDAPS Thematik sicherer Verbindung eingebaut?
Herzlichen Dank vorab.
Viele Grüße,
Valentino
LDAPS durch Microsoft Umstellung
-
Valentino-46
- Beiträge: 280
- Registriert: 05 Aug 2011, 14:24
-
Valentino-46
- Beiträge: 280
- Registriert: 05 Aug 2011, 14:24
Re: LDAPS durch Microsoft Umstellung
Hallo zusammen,
wollte das Thema nochmal ganz kurz auffrischen. Hat niemand das gleiche Problem, dass die LDAP Abfragen von OPSI bald nicht mehr funktionieren?
@OPSI Team: Wäre toll wenn Ihr noch ne kleine Info dazu schreiben könntet.
Danke dafür!
Mit freundlichen Grüßen,
Valentino
wollte das Thema nochmal ganz kurz auffrischen. Hat niemand das gleiche Problem, dass die LDAP Abfragen von OPSI bald nicht mehr funktionieren?
@OPSI Team: Wäre toll wenn Ihr noch ne kleine Info dazu schreiben könntet.
Danke dafür!
Mit freundlichen Grüßen,
Valentino
-
uncle_scrooge
- Beiträge: 650
- Registriert: 21 Feb 2012, 12:03
- Wohnort: Mainz
Re: LDAPS durch Microsoft Umstellung
Auch im zweiten Anlauf verstehe ich nicht, wo Du herkommst, und wo Du hinwillst.
Wenn ich nicht grundlegend etwas verpasst habe, hat OPSI mit einem (Active) Directory von Hause aus nichts am Hut.
Abgesehen vom kofinanzierten directory connector. Das wäre dann aber ein Fall für den Support.
Wenn Du Dir selber eine Anbindung gebaut hast, mußt Du auch selber danach sehen.
Da hier viele Wege nach Rom führen - auch und gerade distributionsabhängig - wird es mit einem Man-nehme-und-rühre-Rezept schwierig.
Wenn ich nicht grundlegend etwas verpasst habe, hat OPSI mit einem (Active) Directory von Hause aus nichts am Hut.
Abgesehen vom kofinanzierten directory connector. Das wäre dann aber ein Fall für den Support.
Wenn Du Dir selber eine Anbindung gebaut hast, mußt Du auch selber danach sehen.
Da hier viele Wege nach Rom führen - auch und gerade distributionsabhängig - wird es mit einem Man-nehme-und-rühre-Rezept schwierig.
-
Valentino-46
- Beiträge: 280
- Registriert: 05 Aug 2011, 14:24
Re: LDAPS durch Microsoft Umstellung
Hallo nochmal,
ich glaube da wurde was falsch verstanden.
Also ich nutze keine Bastellösung oder trickse mir etwas zusammen.
Es gibt offiziell im WINST Handbuch die Sektion LDAPsearch Sektion unter glaub Punkt 10.16.
Hier der Auszug:
Was allerdings in Zukunft nicht mehr funktionieren wird, weil die Domänencontroller durch ein Update sicherheitstechnisch auf LDAPS oder LDAP over TLS umgestellt werden.
Sicherlich kann man ja per GPO dann seine Systeme wieder gegen Microsoft Richtlinie aufboren und doch irgendwie das unsichere LDAP verwenden.
Ich dachte mir aber, ich frag einfach mal ganz freundlich hier nach, ob in die Richtung LDAPS hier etwas in Planung ist.
Dankeschön.
Mit freundlichen Grüßen,
Valentino
ich glaube da wurde was falsch verstanden.
Also ich nutze keine Bastellösung oder trickse mir etwas zusammen.
Es gibt offiziell im WINST Handbuch die Sektion LDAPsearch Sektion unter glaub Punkt 10.16.
Hier der Auszug:
Da wird dann 7 Seiten lang beschrieben, wie die WINST Sektion im OPSI verwendet wird. So haben wir das auch umgesetzt und funktioniert klasse.10.16 LDAPsearch Sektion [W]
Eine LDAPsearch Sektion beschreibt eine Suchanfrage an ein LDAP Verzeichnis, die ausgeführt wird und auch die
Antwort empfängt (und wenn möglich im Cache speichert).
Bevor wir zu den opsi-winst/opsi-script Kommandos übergehen, gibt es erst noch einige Erklärungen zum Syntax von
LDAP selbst
Was allerdings in Zukunft nicht mehr funktionieren wird, weil die Domänencontroller durch ein Update sicherheitstechnisch auf LDAPS oder LDAP over TLS umgestellt werden.
Sicherlich kann man ja per GPO dann seine Systeme wieder gegen Microsoft Richtlinie aufboren und doch irgendwie das unsichere LDAP verwenden.
Ich dachte mir aber, ich frag einfach mal ganz freundlich hier nach, ob in die Richtung LDAPS hier etwas in Planung ist.
Dankeschön.
Mit freundlichen Grüßen,
Valentino
-
uncle_scrooge
- Beiträge: 650
- Registriert: 21 Feb 2012, 12:03
- Wohnort: Mainz
Re: LDAPS durch Microsoft Umstellung
Aah! LDAPSearch aus WINST. Und nicht das Standardtool.
Jetzt wird es klarer.
Trotzdem würde ich es direkt an uib adressieren.
Oder einfach mal ausprobieren. Du kannst problemlos auf Deinen domain controller 'secure' LDAP aktivieren, ohne die 'insecure' Variante abzuschalten.
Ich habe jetzt gerade die Ports nicht parat, aber die sollten sich leicht harausfinden lassen.
Jetzt wird es klarer.
Trotzdem würde ich es direkt an uib adressieren.
Oder einfach mal ausprobieren. Du kannst problemlos auf Deinen domain controller 'secure' LDAP aktivieren, ohne die 'insecure' Variante abzuschalten.
Ich habe jetzt gerade die Ports nicht parat, aber die sollten sich leicht harausfinden lassen.
-
Valentino-46
- Beiträge: 280
- Registriert: 05 Aug 2011, 14:24
Re: LDAPS durch Microsoft Umstellung
Hi uncle_scrooge,
ja korrekt, das ginge, ist aber natürlich nicht wirklich sinnvoll. Die Sicherheitsfunktionen sollen ja zwingend abgeschalten werden.
Ich möchte auch ungern etwas machen, ohne vorher zu wissen, ob beim UIB Team hier nicht vielleicht schon was in Planung ist.
Danke dir auf jedenfall fürs Zuhören
(bzw. lesen)
Ich hoffe einer von UIB meldet sich hierzu mal kurz.
Egal wie die Antwort ausfällt, aber dann kann ich schonmal besser planen was ich mache.
Das Ticket hat ja jetzt doch auch schon einige Aufrufe, also interessieren sich vielleicht schon mehrere dafür.
@All: Wir managen zB die "Beschreibung" im configed komplett per LDAP Abfrage und ein paar kleine Abfragen auf die Registry des PCs. So aktualisiert sich das Beschreibungsfeld bei unseren PCs automatisch und trägt Usernamen, installierte Spezialsoftware usw. automtisch ein. Somit sind die Felder immer hochaktuell und erspart viel Arbeit und auch Fehler.
Deshalb ist mir das auch so wichtig Gerade herrscht hier Chaos 
Beste Grüße,
Valentino
ja korrekt, das ginge, ist aber natürlich nicht wirklich sinnvoll. Die Sicherheitsfunktionen sollen ja zwingend abgeschalten werden.
Ich möchte auch ungern etwas machen, ohne vorher zu wissen, ob beim UIB Team hier nicht vielleicht schon was in Planung ist.
Danke dir auf jedenfall fürs Zuhören
(bzw. lesen)Ich hoffe einer von UIB meldet sich hierzu mal kurz.
Egal wie die Antwort ausfällt, aber dann kann ich schonmal besser planen was ich mache.
Das Ticket hat ja jetzt doch auch schon einige Aufrufe, also interessieren sich vielleicht schon mehrere dafür.
@All: Wir managen zB die "Beschreibung" im configed komplett per LDAP Abfrage und ein paar kleine Abfragen auf die Registry des PCs. So aktualisiert sich das Beschreibungsfeld bei unseren PCs automatisch und trägt Usernamen, installierte Spezialsoftware usw. automtisch ein. Somit sind die Felder immer hochaktuell und erspart viel Arbeit und auch Fehler.
Deshalb ist mir das auch so wichtig
Gerade herrscht hier Chaos Beste Grüße,
Valentino
-
Jan.Schmidt
- Beiträge: 439
- Registriert: 08 Jul 2017, 12:02
Re: LDAPS durch Microsoft Umstellung
Hi,
Wir machen das genau andersherum, der opsi ist der Master fürs AD und unser Assetmanagement ist der Master für den Opsi.
Bei deinem Ansatz - der bestimmt läuft - kein Zweifel, hätte ich leichte Schmerzen.
Kollege x meldet sich an, schreibt seinen Namen in den OPsi rein, die Inventarnummer gehört aber zu jemandem anderes und nachdem der sich angemeldet hat ist Spezialsoftware für Teuer Geld auf der Maschine, weil er eben kurz mal seine Mails checken wollte.
Der Weg den Abgleich mit dem winst zu erledigen - auch der ist mir irgendwie mit Einsatz vom WAN Modul, wo der opsiclient autark ohne Domainanbindung läuft etwas wackelig.
Ich mach das altbacken opsiseitig über einen cronjob und auf Domainseite mit einem geplanten Task und je einem im und einem exportscript.
Gruß
was es alles gibtValentino-46 hat geschrieben: @All: Wir managen zB die "Beschreibung" im configed komplett per LDAP Abfrage und ein paar kleine Abfragen auf die Registry des PCs. So aktualisiert sich das Beschreibungsfeld bei unseren PCs automatisch und trägt Usernamen, installierte Spezialsoftware usw. automtisch ein. Somit sind die Felder immer hochaktuell und erspart viel Arbeit und auch Fehler.
Deshalb ist mir das auch so wichtig
Beste Grüße,
Valentino
Wir machen das genau andersherum, der opsi ist der Master fürs AD und unser Assetmanagement ist der Master für den Opsi.
Bei deinem Ansatz - der bestimmt läuft - kein Zweifel, hätte ich leichte Schmerzen.
Kollege x meldet sich an, schreibt seinen Namen in den OPsi rein, die Inventarnummer gehört aber zu jemandem anderes und nachdem der sich angemeldet hat ist Spezialsoftware für Teuer Geld auf der Maschine, weil er eben kurz mal seine Mails checken wollte.
Der Weg den Abgleich mit dem winst zu erledigen - auch der ist mir irgendwie mit Einsatz vom WAN Modul, wo der opsiclient autark ohne Domainanbindung läuft etwas wackelig.
Ich mach das altbacken opsiseitig über einen cronjob und auf Domainseite mit einem geplanten Task und je einem im und einem exportscript.
Gruß