Version 4.1.12
Verschlüsselte LDAP-Verbindungen zum Active Directory
Microsoft hat in ADV190023 angekündigt, dass in naher Zukunft unverschlüsselte bzw. unsignierte Anfragen zum Active Directory durch eine Änderung der Standardkonfiguration untersagt werden.
Wenn docs365 documents für Anmeldungen das Active Directory verwendet, sollte LDAP über SSL (LDAPS) eingestellt werden, damit Anmeldungen auch nach dieser Änderung von Microsoft weiterhin funktionieren.
Auf dem AD-Server dafür müssen ggf. noch SSL-Verschlüsselung (auf Port 636) und ein Zertifikat eingerichtet werden.
In der Sektion [Active Directory] können bei den Servern nun statt einem einfachen Hostnamen
auch URLs verwendet werden, die das verwendete Protokol (“ldaps” für verschlüsselte Verbindungen,
“ldap” für unverschlüsselte) und ggf. den Port einstellen.
Im folgenden Beispiel werden drei Domänen konfiguriert:
[Active Directory]
domain = domain1, domain2, domain3
server = ldaps://dc1.example.com, ldap://dc2.example.com:389, dc3.example.com
“domain1” verwendet eine verschlüsselte Verbindung auf dem Standard-Port.
“domain2” verwendet eine unverschlüsselte Verbindung und gibt den Port noch einmal explizit an.
“domain3” gibt es nur den Hostnamen an und verwendet damit eine unverschlüsselte Verbindung auf dem Standard-LDAP-Port.
Das SSL-Zertifikat wird standardmäßig validiert, d.h. Windows muss diesem Zertifikat vertrauen und
der eingestellte Hostname muss mit dem im Zertifikat übereinstimmen. Diese Validierung kann über ein
ssl_verify = false in der Sektion [Active Directory] auch ausgeschaltet werden, im
Produktivbetrieb ist das jedoch nicht zu empfehlen.