В первых строках хочу заметить, что новость это уже во первых старая, во вторых мало кому на самом деле интересная.
Тем не менее, возможно кому то будет интересно узнать, что в марте 2020 года, примерно через месяц, всем использующим MS LDAP может стать немножко больно и обидно, может сломаться вход на ряд сервисов.
Странно, что в поиске по сайту этой новости (про 2020 LDAP channel binding and LDAP signing requirement for Windows) не нашлось.
TLDR: В мартовском патче ожидается изменение поведения по умолчанию. Если вы не относитесь к техническому персоналу и(или) не ставите патчи, то пост можно смело пропускать.
Что затронет: Все, что использует LDAP / LDAPS — Windows, Vmware, IPMI, и прочие Windows авторизации — например веб-сервисы с windows авторизацией (но не все).
Кому быть готовыми: Всем, у кого команда по «всему Microsoft» отделена от команд по VMware и железу.
2020 LDAP channel binding and LDAP signing requirement for Windows
Применимо, согласно статье 4520412, к
Applies to: Windows 10, version 1909; Windows 10, version 1903; Windows 10, version 1809; Windows Server 2019, all versions;
Windows 10, version 1803; Windows 10, version 1709; Windows 10, version 1703; Windows 10, version 1607;
Windows Server 2016; Windows 10; Windows 8.1; Windows Server 2012 R2; Windows Server 2012; Windows 7 Service Pack 1; Windows Server 2008 R2 Service Pack 1; Windows Server 2008 Service Pack 2
Кого это затронет:
— Всех, использующих Windows в целом
— Всех, использующих LDAP/LDAPS для Vmware
— Всех, использующих LDAP/LDAPS для прочих сервисов — IPMI всех видов
— Интересно, как это отразится на Active directory as service
Что делать — написано в блоге Alan La Pietra по ссылке, для слабо владеющих языком и забывшим, что google translate умеет переводить сайты целиком, все просто (но лучше свериться с оригиналом и ссылками в самом конце заметки):
В тестовом сегменте, до установки обновлений
— Установите все требуемые обновления
— На всех DC добавьте
Reg Add HKLMSYSTEMCurrentControlSetServicesNTDSDiagnostics /v “16 LDAP Interface Events” /t REG_DWORD /d 2
— на всех DC отслеживайте события 2887 и 2889
— на всех DC настройте LDAP Channel Binding = 1 (До обновлений данный параметр = 0)
Групповые политики уровня домена:
Network security: LDAP client signing requirements: None (Before Jan 2020 updates this setting is Negotiate Signing)
Групповые политики контроллеров домена:
– Group Policy (Domaincontrollers): Domain controller: LDAP server signing requirements: None
После установки обновлений
Групповые политики контроллеров:
– Domain controller: LDAP server signing requirements: Require (from Update)
Контроллеры домена:
– All DCs: LDAP Channel Binding = 1 (from Update)
— на всех DC отслеживайте события 2888
В случае проблем
Смените настройки:
– Domain controller: LDAP server signing requirements: None
— на всех DC отслеживайте события 2887 и 2889
Тестирование лучше начать уже сейчас.
За наведение проблему и решение спасибо одному малоизвестному бложику, одному из немногочисленных оставшихся русскоязычных технических блогов.
Для VMware аналогичная ситуация описана по данной ссылке на русском, здесь (VMware vSphere & Microsoft LDAP Channel Binding & Signing (ADV190023)) на английском
Прочие ссылки
support.microsoft.com/en-us/help/4034879/how-to-add-the-ldapenforcechannelbinding-registry-entry
blogs.technet.microsoft.com/russellt/2016/01/13/identifying-clear-text-ldap-binds-to-your-dcs
kurtroggen.wordpress.com/2018/08/03/are-you-using-ldap-over-ssl-tls
Всем спасибо за внимание.
Автор: Иван Хрюнович Моржов