Alle Neuigkeiten rund um die Sector Nord AG

Sector Nord AG News

Umstellung unserer Systeme auf LDAPS

2020-02-06 14:39 von Andreas Gerliz

Wie im ADV190023 beschrieben, wird aktuell im März 2020 die unverschlüsselte bzw. nicht signierte LDAP Abfrage an Active Directory Server geblockt.

Nach unseren aktuellen Informationen stehen zwei Möglichkeiten zur Verfügung:

LDAP → LDAPS oder mit TLS/SSL umzustellen
LDAP Abfrage Signieren lassen

Alle unsere Produkte müssen auf LDAPS umgestellt werden. Je nach Betriebsystem musste noch das passende Zertifikat importiert werden.

Um alle Systeme zu finden, kann man im Eventlog von Windows nach der ID2887 suchen. Wenn Events gefunden werden, muss nun Diagnoseprotokollierung über die Registry aktiviert werden.

HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics

Type: REG_DWORD 
Name: 16 LDAP Interface Events 
Wert: 2

Jetzt werden Events mit der ID 2889 angelegt, mit wesentlich mehr informationen z.B. Wer wurde gefragt, von welcher IP , Benutzer und Art der Verbindung.

Nicht vergessen, die Diagnoseprotokollierung wieder zu deaktvieren.

Atlassian Confluence

Anpassen der setenv.sh, fügen sie direkt vor den "export CATALINA_OPTS" folgende Zeilen in die Datei:

/opt/atlassian/confluence/bin/setenv.sh

CATALINA_OPTS="-Djdk.tls.trustNameService=true ${CATALINA_OPTS}"
CATALINA_OPTS="-Dcom.sun.net.ssl.checkRevocation=false ${CATALINA_OPTS}"
CATALINA_OPTS="-Dcom.sun.jndi.ldap.object.disableEndpointIdentification=true ${CATALINA_OPTS}"

Importieren vom Server Zertifikat

Atlassian

openssl x509 -in <(openssl s_client -connect <server>:636 -prexit 2>/dev/null) -out /tmp/server.crt
/opt/atlassian/confluence/jre/bin/keytool
-importcert -keystore
/opt/atlassian/confluence/jre/lib/security/cacerts
-file /tmp/server.crt

Bearbeiten Sie nun in Confluence "Benutzerverzeichnisse" den Active Directory Connector. Wechseln Sie auf z.B. Port 636 und führen Sie den Test durch.

Evtl. muss die Option "Verweise weiterleiten" deaktiviert werden.

Gitlab

Gitlab - /etc/gitlab/gitlab.rb

/etc/gitlab/gitlab.rb
gitlab_rails['ldap_servers'] = YAML.load <<-'EOS'
   main: # 'main' is the GitLab 'provider ID' of this LDAP server
     label: 'LDAP'
     host: '<IP>'
     port: 389
     uid: 'sAMAccountName'
     bind_dn: '<CN>'
     password: '<IP>'
     encryption: 'start_tls'
     verify_certificates: false
     active_directory: true
     allow_username_or_email_login: false
     block_auto_created_users: false
     base: 'DC=snagit,DC=sectornord,DC=de'
     user_filter: '<FILTER>'
EOS
 
gitlab-ctl reconfigure
gitlab-rake gitlab:check

TLS muss aktiv sein

OTRS:

Config.pm

#Agents
...  
 $Self->{'AuthModule::LDAP::Host'} = 'ldaps://<server>';
...  
$Self->{'AuthModule::LDAP::Params'} = {
        port => 636,
        timeout => 120,
        async   => 0,
        version => 3,
    };
...
 $Self->{'AuthSyncModule::LDAP::Host'} = 'ldaps://<server>';
...
    $Self->{'AuthSyncModule::LDAP::Params'} = {
        port    => 636,
        timeout => 120,
        async   => 0,
        version => 3,
    };
...
#Customer
    $Self->{'Customer::AuthModule::LDAP::Host'} = 'ldaps://<server>';
...
    $Self->{'Customer::AuthModule::LDAP::Params'} = {
        port    => 636,
        timeout => 120,
        async   => 0,
        version => 3,
    };

Gegebenenfalls müssen die Einstellungen für weitere Server ebenfalls vorgenommen werden.

i-doit:

Verwaltung → Schnittstellen / externe Daten → LDAP → Server

Port: 389
TLS: Ja

SNAG-View

Systemeinstellungen → Globale Optionen → Core → ldap

Host: ldaps://<server>
Port: 3269 # oder 636
useSsl: yes

Quelle:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023

Von Martin Haubold, (Kommentare: 0)

20 Jun

CEBIT 2018

Vielen Dank für Ihren Besuch!

Wir bedanken uns herzlich bei allen Besuchern unseres Messestandes, die trotz des geänderten CEBIT-Konzeptes zu uns gekommen sind und großes Interesse an unseren Lösungen hatten.
Außerdem bedanken wir uns beim Niedersächsischen Gemeinschaftsstand für die gute Zusammenarbeit.

Wir freuen uns auf die intensive Zusammenarbeit mit unseren langjährigen Kunden und den neuen Kontakten, die wir geknüpft haben.

Ihr Sector Nord Team

Weiterlesen … CEBIT 2018

Von Andreas Gerliz, (Kommentare: 0)

12 Jun

CEBIT 2018 - Unser Messeteam

Unser Messeteam freut sich auf Ihren Besuch. Bis einschließlich Freitag (15.06.) finden Sie uns in Halle 16 am Stand A18 - schauen Sie vorbei, es lohnt sich.

Weiterlesen … CEBIT 2018 - Unser Messeteam

Von Andreas Gerliz, (Kommentare: 0)

09 Apr

Webinar-Reihe: ITSM-Connector - IT-Service-Tools integrieren, anpassen und erweitern

Wir laden Sie herzlich ein, an unserer Webinar-Reihe: „ITSM-Connector - IT-Service-Tools integrieren, anpassen und erweitern“ teilzunehmen.

Den Auftakt macht am 17.04.2018 um 15:00 Uhr das erste Webinar mit dem Thema: „Automatisiertes Monitoring mit CMDB-Daten aufbauen“.

Melden Sie sich einfach kostenfrei für das 45 Minütige Webinar an.

Weiterlesen … Webinar-Reihe: ITSM-Connector - IT-Service-Tools integrieren, anpassen und erweitern