LDAP sécurisé

Bonjour


Un agent de notre collectivité travaillant sur la sécurité informatique de notre SI, a mise en évidence des failles sur les applicatifs qui initient des connexions aux AD sans signature LDAP.
Microsoft va rendre obligatoire la signature LDAP via une update. Cette mise à jour est prévue le 2nd semestre de l’année 2020.
Y a t'il un moyen pour que GRR utilise le LDAPS (sécurisé)

merci par avance pour votre assistance

Bonjour,
a priori les dernières modifications apportées au code permettent l'utilisation du protocole LDAPS.
Pour cela veuillez utiliser la dernière version stable :
github.com/JeromeDevome/GRR/releases
Cordialement,
YN

Bonjour,

Après plusieurs tentatives pour réaliser des connexions LDAPS depuis l'applicatif GRR.
Nous obtenons uniquement des connexions échouées (la connexion depuis le service LDAP non sécurisée est fonctionnelle)

Description de l'environnement de test :
- GRR est installé sur une Debian 10,
- Nous utilisions la dernière version de GRR que vous avez préconisé : github.com/JeromeDevome/GRR/releases
- Enfin, nous avons intégré le certificat généré par notre autorité de certification locale dans GRR,
Puis il a été référencé dans le fichier /etc/ldap/ldap.conf

Nous avons réalisé des tests depuis ce serveur en PHP pour réaliser des connexions LDAPS, celles-ci sont fonctionnelles.
En revanche depuis votre applicatif il nous est impossible de réaliser des connexions LDAPS.

Avez-vous une idée, process de debugage à réaliser ?

Bonjour,
assez vaguement parce que je ne suis pas en mesure de tester sur un annuaire LDAP(S), ce qui est à amender devrait se trouver dans functionc.inc.php, session.inc.php et config_ldap.inc.php. Ou faire une recherche ldap dans les fichiers de l'arborescence de GRR
Et utiliser GRR en version 3.4.1c ou, mieux, 3.4.1d.
Cordialement
YN

Depuis la version 3.4.1 le LDAPS est possible, d'ailleurs cela a engendré des modifications pour le LDAP (non-sécurisé) car il faut renseigner également le schema du protocole "ldap://" ou "ldaps://"
Pour l'hôte -disons qu'il s'agit de localhost- il faut indiquer maintenant dans le champ "ldap://localhost" ou "ldaps://localhost"

Si le port utilisé n'est pas le port standard du protocole, vous devez le rajouter dans l'URI, par exemple "ldap://localhost:11022" ou "ldaps://localhost:10087"

Ok merci pour vos retours, je vais tenter de modifier la solution pour prendre en charge le LDAPS.

Si ca intéresse des personnes, je pourrai poster les fix sur un git ou sur le repo officiel de GRR.

Merci à vous !

La version 3.4.1 gère déjà le LDAPS.
J'ai édité mon message plus haut pour indiquer le port dans le cas où vous utilisez un port particulier (autre que le standard 636).

Oui merci mais normalement dans LDAPS en PHP il n'est pas nécessaire de spécifier le port de destination si le port du contrôleur de domaine utilise le 636.

Bonjour, j'aimerais passer la connexion en LDAPS mais ne maitrise pas toutes les implications, notamment "nous avons intégré le certificat généré par notre autorité de certification locale dans GRR".
Je suis sur du Windows et les certificats sont bien importés dans les magasins adéquats mais ça ne fonctionne pas. J'en déduis qu'il y a autre chose...
Pouvez-vous m'aider ?

Bonjour,

Lorsque que vous essayez de paramétrer le LDAPS, est-ce que vous avez activé le TLS ?
Nous faisons également des tests avec le LDAPS, nous arrivons à nous connecter quand le TLS est désactivé, mais pas quand il est activé.