Unitrends Enterprise Backup Appliance und LDAPs Authentifizierung

Unitrends

Update 23.02.2020:
„Windows Updates in March 2020 add new audit events, additional logging, and a remapping of Group Policy values that will enable hardening LDAP Channel Binding and LDAP Signing. The March 2020 updates do not make changes to LDAP signing or channel binding policies or their registry equivalent on new or existing domain controllers.
A further future monthly update, anticipated for release the second half of calendar year 2020, will enable LDAP signing and channel binding on domain controllers configured with default values for those settings.“
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023

Bekanntlich bereitet Microsoft im März 2020 die Domain Controller langsam auf LDAP Channel Binding und LDAP Signing um. Somit leitet Microsoft langsam das Ende von unverschlüsselten LDAP-Verbindungen ein.

Sofern man sich auf seiner Unitrends Enterprise Backup Appliance per LDAP authentifiziert und es immer noch versäumt hat, diese auf LDAPS um zu stellen, dann besteht schön langsam Handlungsbedarf.

Dieser Artikel zeigt in ein paar wenigen Schritten, wie die LDAPS Authentifizierung in der Unitrends Enterprise Backup Appliance konfiguriert wird.

Ist-Zustand:

Die Unitrends Appliance ist momentan für die Authentifizierung über LDAP konfiguriert.

Damit wir den Haken bei Use SSL setzen können, müssen wir erst dafür sorgen, dass die Unitrends Appliance die SSL-Zertifikatskette korrekt auflösen kann, da der Domain Controller bei der Verbindung über LDAPS typischerweise mit einen Zertifikat antwortet, welches von der hauseigenen Zertifizierungstellen ausgestellt wurde. Da es sich dabei in den wenigsten Fällen um eine öffentliche Zertifizierungsstelle handelt, wird die Unitrends Appliance dem CA-Zertifikat nicht vertrauen und somit die Authentifizierung fehlschlagen.

Das bedeutet, im einfachsten Fall reicht es, der Unitrends Appliance das CA-Zertifikat der hauseigenen Zertifizierungsstelle zu importieren.

Vorabeit

Für manche Schritte brauchen Sie SSH-Zugriff auf Ihre Unitrends Appliance. Wenn Sie noch niemals per SSH auf die Unitrends Appliance zugegriffen haben, dann hilft Ihnen folgender KB-Artikel 000004644, um dies zu bewerkstelligen.

Grundsätzlich können alle nachfolgenden Schritte 1-5 direkt von der Kommandozeile des Domain Controllers ausgeführt werden, der im Netzwerk gleichzeitig als Zertifizierungsstelle fungiert.

Schritt 1: Exportieren des CA-Zertifikat vom Domaincontroller bzw. der Zertifizierungsstellen

Am schnellsten geht das auf der Kommandozeile am DC. Mit diesem Befehl wird das CA-Zertifikat der Zertifizierungstelle exportiert und unter dem Dateinamen priantoca.cer im aktuellen Verzeichnis gespeichert.

certutil -ca.cert -f priantoca.cer

Schritt 2: Binäres CER-Format des exportieren Zertifikates in ein Base64-Format konvertieren.

Mit diesem Befehl wird die binäre priantoca.cer in ein Base64-Format konvertiert und unter dem Namen priantoca.crt gespeichert. Ein Linux-Betriebssystem, was im Übrigen die Unitrends-Appliance ist, erwartet Zertifikate im Base64-Format.

certutil -f -v -encode priantoca.cer priantoca.crt

Schritt 3: CA-Zertifikat im Base64-Format zur Unitrends Appliance übertragen

Mit diesem Befehl wird das CA-Zertifikat namens priantoca.crt per SCP zur Unitrends Applicance in das Verzeichnis /etc/pki/ca-trust/source/anchors/ kopiert.

scp priantoca.crt root@mucueb03.prianto.com:/etc/pki/ca-trust/source/anchors/.

Schritt 4: Liste der CA-Zertifikate auf der Unitrends Appliance aktualisieren

Per SSH wird der Befehl update-ca-trust auf der Unitrends Appliance remote ausgeführt. Damit wir das zuvor kopierte CA-Zertifikat in die Liste der vertrauenswürdigen CA-Zertifikate mit auf genommen.

ssh root@mucueb03.prianto.com '/bin/update-ca-trust'

Schritt 5: LDAPS in der Unitrends Appliance aktivieren

Über Modify AD Settings kann die LDAP-Verbindung zum Domain Controller bearbeitet werden

Im folgenden Dialog wird einfach der Haken bei Use SSL gesetzt und anschließend alle Dialog mit Save geschlossen.

Soll-Zustand:

LDAPS ist auf der Unitrends Appliance aktiviert und eine Anmdelung mit einem passenden Domänen-Benutzer ist immer noch möglich.

Andreas Fleischmann
follow me
Letzte Artikel von Andreas Fleischmann (Alle anzeigen)