Citrix Netscaler overzetten van LDAP naar sLDAP?
Wat is LDAP en waarom moet je over naar signed LDAP?
Microsoft heeft enige tijd geleden aangekondigd om de LDAP-ondersteuning standaard uit te zetten in verband met de hedendaagse securityeisen. LDAP staat voor “Lightweight Directory Access Protocol” en vraagt directories uit in “clear tekst”. LDAP wordt gebruikt om de Active Directory uit te lezen en op basis van die gegevens toegang te geven tot Applicaties, tools of bestanden. Ook maakt Microsoft zelf in een aantal Management Tools gebruik van LDAP. Het mag duidelijk zijn dat uitzetten van LDAP-ondersteuning grote gevolgen heeft omdat er nogal wat producten gebruik van maken.
Volgens onderstaande stappen voert Microsoft dit door:
Stap 1
Je kan zelf bepalen of je de policies voor LDAP-ondersteuning uit of aan zet. Deze zijn al aanwezig in alle ondersteunde besturingssystemen. Hiermee kun je LDAP-ondersteuning dus gewoon weer aanzetten en blijven gebruiken. Je negeert dan het beveiliging advies, maar je hoeft niets aan te passen.
Stap 2
Na het installeren van de Windows updates van maart 2020 komen er events in de eventlog die aangeven dat de security kan worden verbeterd door LDAP-server signing aan te zetten.
Stap 3
In de tweede helft van 2020 wordt LDAP-ondersteuning standaard uitgezet. Dus zorg dat je voor die tijd overstapt op secure LDAP of de policy aan zet die LDAP enabled, zodat je niet voor een verassing komt te staan. Een exacte datum is nog niet bekend.
Gebruikt de netscaler LDAP?
De kans dat de netscaler LDAP gebruikt is redelijk groot, zeker configuraties die al een poosje bestaan. Nieuwe installatie worden ook vaak ingericht met SAML. Om van LDAP af te komen kun je overschakelen naar LDAPs of SAML. Overschakelen naar LDAPs is op de netscaler een eenvoudigere stap dan naar SAML. De stappen om over te schakelen naar sLDAP staan hieronder omschreven.
Certificaat op domein controllers
Om gebruik te maken van Secure LDAP moet er op de domeincontrollers een certificaat geplaatst worden in de persoonlijke store van het computeraccount. Dit certificaat moet de onderwerpnaam hebben van de Domeincontroller als volledige domeinnaam. Het certificaat moet uitgegeven zijn als Server authenticatie en Client authenticatie. Als je in het bezit bent van een eigen PKI-infrastructuur is dit geen probleem. Als je geen PKI-infrastructuur tot je beschikking hebt, val je meestal terug op “self signed” certificaten met veel beheer tot gevolg. Publieke certificaten zijn vaak niet te gebruiken omdat de interne domein naam vaak eindigt op “.local” of “.intern”. Dus als je geen PKI infrastructuur tot je beschikking hebt moet je overwegen deze te implementeren.
Controleren of LDAPs werkt en LDAP niet meer
Om te controleren of alles goed geconfigureerd is, kan je het hulpmiddel ldp.exe gebruiken.
Connect eerst naar de domein controller met LDAP en vervolgens met een account die rechten heeft in de AD. Onder view lukt het om door de AD te bladeren.
Firewall aanpassingen door port aanpassingen van 389 naar 636
Het aanpassen van LDAP naar LDAPs betekent ook een ander port nummer. Dit houdt in het aanpassen van firewall rules. Of er tussen de netscaler een firewall zit hangt een beetje van de configuratie van de netscaler af. Het kan zijn dat de netscaler zit aangesloten op een switch en vervolgens router en dus door een firewall heen moet, maar soms heeft de netscaler direct een netwerklink in het subnet waar de domeincontrollers in zitten.
Netscaler overzetten naar LDAPs
Als bovenstaande allemaal geregeld is, is de netscaler ADC overzetten niet meer zo ingewikkeld. Log in op de netscaler en ga naar Netscaler Gateway – Policies – LDAP. Edit hierna de LDAP-server.
Pas het security type aan naar SSL en kies onderaan OK