+49 (0)7531 906010| service@combit.net

LDAP Anbindung weiterhin möglich?

In der zweiten Jahreshälfte wird mit einem Patch von Microsoft die Security der Domain-Controller erhöht, indem die LDAP-Kommunikation über Simple Bind (TCP Port 389 (LDAP)) unterbunden wird.

Betrifft dies auch den cRM und wenn ja, wird es hierfür zeitnah eine Lösung geben?

Hallo Ralf,

korrekt, Ihre Frage betrifft den cRM zumindest theoretisch, praktisch aber nicht, denn im cRM funktioniert für V9+V10 LDAP auch weiterhin :slight_smile: – für Interessierte hier alle (technischen) Details:

Microsoft will mit den Windows Patches vom März 2020 die LDAP Zugriffe für Systeme verschärfen, um entsprechende Sicherheitsthemen zu adressieren: LDAP-Abfragen, welche kein TLS1.2 verwenden, werden nach Installation dieser Windows Updates abgewiesen werden.

Administratoren finden technische Details hier: 2020 LDAP channel binding and LDAP signing requirement for Windows und Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing: „Enable LDAP channel binding and LDAP signing on Active Directory Domain Controllers. This hardening must be done manually until the release of the security update that will enable these settings by default. This update will be available in March 2020. … Reject Simple Authentication and Security Layer (SASL) LDAP binds that do not request signing (integrity verification) or to reject LDAP simple binds that are performed on a clear text (non-SSL/TLS-encrypted) connection. SASLs may include protocols such as the Negotiate, Kerberos, NTLM, and Digest protocols. Any system that connects to Active Directory via LDAP without using TLS will be negatively affected by this change.“

Wir haben eine entsprechende Infrastruktur inkl. der angekündigten Patches wie unter https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023 bzw. https://support.microsoft.com/en-us/help/4520412/2020-ldap-channel-binding-and-ldap-signing-requirement-for-windows beschrieben konfiguriert, und die für dieses Thema relevante Policy aktiviert.

Der Active Directory Zugriff der Benutzerverwaltung in combit CRM Version 9 und 10 berücksichtigen bereits diesen sicheren Zugriff – ein Import/Synchronisation mit dem Active Directory der Testdomäne war problemlos möglich, wogegen die Microsoft-LDAP-Anwendung lpd.exe (ohne SSL) nicht mehr funktioniert (Kontrolltest).

Der Betrieb des combit CRM LDAP Servers ist von diesem Thema nicht betroffen.

Beste Grüße vom Bodensee!

Hinweis: wir haben diese Tests nach bestem Wissen und Gewissen durchgeführt. Nichtsdestotrotz macht combit keine Angaben zu einer bestimmten Eignung obiger Informationen. Irrtümer und Fehler bleiben ausdrücklich vorbehalten und die Angaben erfolgen ohne Gewähr. Die Angaben stellen nur Beschreibungen dar und enthalten keine Garantie der Beschaffenheit der Produkte. Sollte es unerwartet (s.o.) Probleme bei LDAP geben, eröffnen Sie bitte einen Support Case, wir werden uns dann schnellstmöglichst um Ihr Szenario kümmen. :fist:

Hallo Björn,

danke für die Info. Dann kann ich ja schon mal ein Programm von der zu prüfenden Liste streichen.

Grüße aus Stuttgart!

© combit GmbH