Task #5943
closedFwd: MWN-ADS: unveschlüsselter LDAP Zugriff auf Domäne
0%
Description
Ist das cloudbruegge? Sollte sich jemand ansehen, helfe gerne bei fragen !
------- Weitergeleitete Nachricht ------
Von: Niedermeier, Thomas Thomas.Niedermeier@lrz.de
Datum: Mo. 5. März 2018 um 15:00
Betreff: MWN-ADS: unveschlüsselter LDAP Zugriff auf Domäne
An: tuini01@adsmwn.lrz.de tuini01@adsmwn.lrz.de
Sehr geehrte Teiladmins,
wir sehen seit längerem täglich unverschlüsselte LDAP-Zugriffe auf die
Domänencontroller für das MWN-ADS von der IP-Adresse 131.159.38.74 mit der
Teiladmin-Kennung ADS\ TUINI01L0-Admin2. Wir würden gerne im Laufe des
Jahres 2018 den unverschlüsselten Zugriff über LDAP (Port 389) generell
unterbinden. Könnten Sie bitte einmal in Ihrer Umgebung prüfen, ob Sie die
Zugriffe nicht auf LDAPS über Port 636 umstellen können. Außerdem wäre es
auch sinnig die persönlichen Teiladminkennung gegen einen System-Account
der TUM zu tauschen. Informatioinen zur Verwendung von System-Accounts
finden Sie hier https://www.it.tum.de/system-account/.
Anbei ein kleiner Auszug aus dem Logfile zu Clients aus dem Subnetz:
"05.03.2018
11:47:50","131.159.38.74","39508","ADS\TUINI01L0-Admin2","Simple"
"05.03.2018
11:45:20","131.159.38.74","39454","ADS\TUINI01L0-Admin2","Simple"
"05.03.2018
11:44:50","131.159.38.74","39440","ADS\TUINI01L0-Admin2","Simple"
"05.03.2018
11:43:10","131.159.38.74","39404","ADS\TUINI01L0-Admin2","Simple"
"05.03.2018
11:42:10","131.159.38.74","39378","ADS\TUINI01L0-Admin2","Simple"
"05.03.2018
11:41:20","131.159.38.74","39360","ADS\TUINI01L0-Admin2","Simple"
Mit freundlichen Grüßen
Thomas Niedermeier
--
Thomas Niedermeier
Leibniz-Rechenzentrum
Boltzmannstr. 1
85748 Garching
Mail: Thomas.Niedermeier@lrz.de Thomas.Niedermeier@lrz-muenchen.de
Telefon: +49 89 35831-8826
Fax: +49 89 35831-9700
FA Updated by Florian Angermeir about 2 months ago
[~ga25nef] Ja das ist cloudbruegge. Danke für das Angebot, ich seh es mir nachher an!
BB Updated by Benedikt Brandner about 2 months ago
[~ga58nav] im idealfall geht das out of the box wenn wir bei host ldaps:// vor schreiben und den port ändern
FA Updated by Florian Angermeir about 2 months ago
[~ga49xel] stimmt, in Kombination mit dem entsprechenden Port geht das.
Ich hatte vor 2 Tagen dem Herrn Niedermeier geschrieben. Man findet nur cbruegge (131.159.38.74), nicht aber cloudbruegge (131.159.39.208) in den Logs. Da war ich aktuell noch dran weil mir das unklar ist. Aber vielleicht weißt du aus welchem Grund das so ist bzw. wo das eingestellt wurde?
BB Updated by Benedikt Brandner about 2 months ago
der host (die vm) ist cbruegge, cloudbruegge ist ein service der draufgeschaltet wird (der rechner holt sich die zweite ip). müsste man auch im terminal sehen wenn man per ssh drauf ist. hatten wir damals so gemacht wo wir die cloud migriert haben glaube ich
FA Updated by Florian Angermeir about 2 months ago
Ah okay. Damit ist auch die letzte Frage, die sich mir gestellt hat bezüglich Zertifikat für LDAPS beantwortet.
Vielen Dank!
HS Updated by Helma Schneider about 2 months ago
[~ga58nav] Hast du auch dem Thomas Niedermeier schon Bescheid gegeben?
VG - Helma
FA Updated by Florian Angermeir about 2 months ago
[~gi23fop] Das Ticket war nur noch so lange offen weil ich auf seine Rückmeldung gewartet hab. ;)