[Driftstörning] Clarification about LDAP channel binding and LDAP signing requirement

Hasse S G Freij hazze at chalmers.se
Tors Apr 23 13:08:04 CEST 2020 

Hej / Hi 

Eftersom många på denna driftstörningslistan tillhör kategorin icke-IT-tekniker så tänkte jag översätta
Mirzas meddelande så här: Om föregående meddelande kändes obegripligt
så är det inget som berör er 😊 - ignorera det bara.

Hi

Since many subscribers to this list is non-IT-technicians  I thought I should translate the
message from Mirza as: If you did not understand anything, then this is nothing that would affect you. 😊
Just ignore this message.

//Hasse Freij.

What is LDAP?

LDAP, or Lightweight Directory Access Protocol, is an open protocol used to store and retrieve data from a hierarchical directory structure. Commonly used to store information about an organization and its assets and users, LDAP is a flexible solution for defining any type of entity and its qualities.

-----Original Message-----
From: driftstorning <driftstorning-bounces at lists.chalmers.se> On Behalf Of Mirza Mujagic
Sent: den 23 april 2020 12:47
To: driftstorning at lists.chalmers.se
Subject: [Driftstörning] [ActiveDirectory] LDAP channel binding and LDAP signing requirement

[SV]
Vi planerar att aktivera LDAP kanal- bindning och LDAP signering på domänkontrollanterna i driftmiljön den 5:e maj 2020.
LDAP-kanalbindning och LDAP-signering är sätt att öka säkerheten för nätverkskommunikationen mellan Active Directory och dess klienter. Det finns säkerhetsrisker i nuvarande konfiguration som kan exponera Active Directory-domänkontrollanter för behörighetsökning.
Framförallt icke- Windows klienter och servrar som kommunicerar med domänkontrollanter via LDAP, bör verifieras att LDAP bindning- och signering stöds. I testmiljön (NETTST) är dessa inställningar implementerade på domänkontrollanter för just detta test- ändamål.


[EN]
On 5:th of May 2020, we are planning to enforce LDAP channel binding and LDAP signing on domain controllers to increase the security of network communications between the AD and its clients. There is a weakness in present configuration which may expose AD domain controllers to elevation of privilege vulnerabilities.
All, but primarily non- Windows clients using (AD)LDAP, should be verified that systems are capable and in fact negotiate LDAP binding and signing. Our test environment (domain: NETTST) is already hardened and can be used to test your configuration.


/Mirza
IT-avdelningen

More information about the driftstorning mailing list