LDAPS sendo redirecionado para 389

Question

LDAPS sendo redirecionado para 389

#1 resposta do (1 votos)

3

Estamos tentando realizar uma ligação LDAPS a um servidor que bloqueia 389 com um firewall, de modo que todo o tráfego deve ultrapassar 636.

Em nosso laboratório de teste, estamos nos conectando a um teste de ldap (localizado no mesmo servidor) que não tem esse firewall, portanto, as duas portas estão expostas. Executando o ldp.exe no servidor de teste, geramos o rastreio abaixo, o que parece sugerir que ele é vinculado com êxito ao 636. No entanto, se monitorarmos o tráfego com o wireshark, todo o tráfego será enviado para 389 sem nenhuma tentativa de entrar em contato com 636. / p>

Outras ferramentas serão vinculadas apenas ao SSL em 636 ou sem SSL em 389, o que parece sugerir que está se comportando corretamente, mas o Wireshark mostra 389.

Apenas o servidor de teste que estamos usando RawCap para capturar o tráfego de loopback local.

Alguma idéia?

0x0 = ldap_unbind(ld);
ld = ldap_sslinit("WIN-GF49504Q77T.test.com", 636, 1);
Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3);
Error 0 = ldap_connect(hLdap, NULL);
Error 0 = ldap_get_option(hLdap,LDAP_OPT_SSL,(void*)&lv);
Host supports SSL, SSL cipher strength = 128 bits
Established connection to WIN-GF49504Q77T.test.com.
Retrieving base DSA information...
Getting 1 entries:
Dn: (RootDSE)

ssl ldap windows-server-2008

por Andy March 31.07.2012 / 16:32

1 resposta

Tags ssl ldap windows-server-2008

Se os resultados externos de AB forem de 200 rps e os AB internos mantiverem 3k rps, só posso controlar 200 (limitado pela velocidade de saída) ou 3k? PHP mostra o código fonte da página no navegador

score 1 · Answer 1

Eu começaria verificando o certificado da seguinte maneira.

Como solucionar problemas de conexão LDAP por SSL
link

Etapa 1: verificar o certificado de autenticação do servidor

Verifique se o certificado de autenticação do servidor usado atende aos seguintes requisitos:

O nome de domínio totalmente qualificado do Active Directory do controlador de domínio aparece em um dos seguintes locais:
- O nome comum (CN) no campo Assunto
- A extensão Subject Alternative Name (SAN) na entrada DNS
  - A extensão de uso de chave avançada inclui o identificador de objeto de autenticação do servidor (1.3.6.1.5.5.7.3.1).
  - A chave privada associada está disponível no controlador de domínio. Para verificar se a chave está disponível, use o comando certutil -verifykeys.
  - A cadeia de certificados é válida no computador cliente. Para determinar se o certificado é válido, siga estas etapas:
    1. No controlador de domínio, use o snap-in Certificados para exportar o certificado SSL para um arquivo chamado Serverssl.cer.
    2. Copie o arquivo Serverssl.cer para o computador cliente.
    3. No computador cliente, abra uma janela do prompt de comando.
    4. No prompt de comando, digite o seguinte comando para enviar a saída do comando para um arquivo chamado Output.txt:
  certutil -v -urlfetch -verify serverssl.cer > output.txt
  Abra o arquivo Output.txt e, em seguida, procure por erros.

Etapa 2: verificar o certificado de autenticação do cliente

Em alguns casos, o LDAPS usa um certificado de Autenticação do Cliente, se estiver disponível no computador cliente. Se esse certificado estiver disponível, verifique se o certificado atende aos seguintes requisitos:

A extensão de uso de chave avançada inclui o identificador de objeto de autenticação do cliente (1.3.6.1.5.5.7.3.2).
A chave privada associada está disponível no computador cliente. Para verificar se a chave está disponível, use o comando certutil -verifykeys.
A cadeia de certificados é válida no controlador de domínio. Para determinar se o certificado é válido, siga estas etapas:
1. No computador cliente, use o snap-in Certificados para exportar o certificado SSL para um arquivo chamado Clientssl.cer.
2. Copie o arquivo Clientssl.cer para o servidor.
3. No servidor, abra uma janela do prompt de comando.
4. No prompt de comando, digite o seguinte comando para enviar a saída do comando para um arquivo chamado Outputclient.txt:
  
  certutil -v -urlfetch -verify serverssl.cer > outputclient.txt
  Abra o arquivo Outputclient.txt e, em seguida, procure por erros.

Etapa 3: verifique vários certificados SSL

Determine se vários certificados SSL atendem aos requisitos descritos na etapa 1. O Schannel (o provedor SSL da Microsoft) seleciona o primeiro certificado válido que o Schannel encontra no armazenamento do Computador Local. Se vários certificados válidos estiverem disponíveis no armazenamento do computador local, o Schannel não poderá selecionar o certificado correto. Um conflito com um certificado de autoridade de certificação (CA) pode ocorrer se a autoridade de certificação estiver instalada em um controlador de domínio que você está tentando acessar por meio de LDAPS.

Etapa 4: verificar a conexão LDAPS no servidor
Use a ferramenta Ldp.exe no controlador de domínio para tentar se conectar ao servidor usando a porta 636. Se você não conseguir se conectar ao servidor usando a porta 636, consulte os erros gerados pelo Ldp.exe. Além disso, visualize os logs do Visualizador de Eventos para localizar erros. Para obter mais informações sobre como usar o Ldp.exe para se conectar à porta 636, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

321051 Como habilitar o LDAP sobre SSL com uma autoridade de certificação de terceiros
link

Etapa 5: ativar o registro em log do Schannel Ative o log de eventos do Schannel no servidor e no computador cliente. Para obter mais informações sobre como habilitar o log de eventos do Schannel, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

260729 Como habilitar o log de eventos do Schannel no IIS
link