Zmiany w obsłudze komunikacji LDAP - część 2/5

December 19, 2019  ‐ 2 minut(a) czytania

W poprzednim wpisie z serii Zmiany w obsłudze komunikacji LDAP opisałem zmiany w rekomendacjach dotyczących zabezpieczenia komunikacji, jakie powinni zastosować administratorzy środowisk Active Directory Lightweight Directory Services (AD DS) oraz  Active Directory Lightweight Directory Services (AD LDS).

Dzisiaj zaprezentuję jak szybko i wsadowo (na wszystkich kontrolerach domeny w środowisku) odczytać informacje o konfiguracji protokołu LDAP w oparciu o rejestr systemowy. 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
$DCs = Get-ADDomainController -Filter *

ForEach ($DC in $DCs)
{
    '*' * 40            
    $DC.HostName            
    Invoke-Command -ComputerName $DC.HostName -ScriptBlock {            
        $LdapEnforceChannelBinding=(Get-ItemProperty -Path Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters -Name "LdapEnforceChannelBinding" -ErrorAction SilentlyContinue | select "LdapEnforceChannelBinding" | fl | Out-String) -Replace "`n","" -replace "`r","" -replace " :",":";if (!$LdapEnforceChannelBinding) { "LdapEnforceChannelBinding: (Brak)" } else {$LdapEnforceChannelBinding}  
        $LDAPServerIntegrity=(Get-ItemProperty -Path Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters -Name "LDAPServerIntegrity" -ErrorAction SilentlyContinue | select "LDAPServerIntegrity" | fl | Out-String) -Replace "`n","" -replace "`r","" -replace " :",":";if (!$LDAPServerIntegrity) { "LDAPServerIntegrity: (Brak)" } else {$LDAPServerIntegrity}
        $LDAPClientIntegrity=(Get-ItemProperty -Path Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters -Name "LDAPClientIntegrity" -ErrorAction SilentlyContinue | select "LDAPClientIntegrity" | fl | Out-String) -Replace "`n","" -replace "`r","" -replace " :",":";if (!$LDAPClientIntegrity) { "LDAPClientIntegrity: (Brak)" } else {$LDAPClientIntegrity}
    }            
}

Skrypt zwraca wartości ustawień kluczy LdapEnforceChannelBinding,  LDAPServerIntegrity oraz LDAPClientIntegrity z wszystkich kontrolerów domeny, z którymi udało się skomunikować. 

image

W następnej części pokażę, jak w praktyczny sposób sprawdzić czy w naszym środowisku występują połączenia, które po zmianach w konfiguracji protokołu LDAP będą skutkowały odmową dostępu do katalogu i odrzucaniem połączeń. 

Twoje okno na chmurę

Grzegorz Głogowski

Społeczności

Dla wydawców

Dla programistów

O ile nie stwierdzono inaczej, opublikowane materiały autorskie udostępniane są na licencji Creative Commons Uznanie autorstwa-Użycie niekomercyjne-Na tych samych warunkach 4.0. W przypadku przedruków oraz tłumaczeń pewne prawa są zastrzeżone na rzecz oryginalnych twórców lub dystrybutorów.

Witrynę zasilają Netlify, Hugo i Doks.