LDAPS wordt binnenkort de norm: wees voorbereid!

LDAPS wordt binnenkort de norm: wees voorbereid!

Geschreven door Katrien Devulder op

Microsoft kondigt aan dat het binnenkort een wijziging zal doorvoeren in de manier waarop LDAP requests worden gebruikt als authenticatiemiddel. Een exacte datum voor deze wijziging is er nog niet, maar verwacht wordt dat ze vanaf de tweede helft van 2020 wordt doorgevoerd. Vanaf dan zal alleen LDAPS nog toegelaten worden om te communiceren met o.a. Active Directory. U bereidt zich daarom best tijdig voor op deze wijziging.

LDAP vs LDAPS

Het Lightweight Directory Access Protocol, kortweg LDAP, wordt gebruikt om te communiceren met Active Directory, de centrale plek om gebruikersnamen en wachtwoorden te bewaren. Op die manier kunnen heel wat applicaties en diensten verbinden met Active Directory om gebruikers correct te identificeren en hen toegang te geven tot de toepassing die ze willen gebruiken. LDAP omvat echter een kwetsbaarheid: het protocol werkt niet geëncrypteerd. Kwaadwilligen kunnen dus LDAP-authenticatieverzoeken opvragen en bekijken om authenticatiegegevens te stelen.

U kan dit echter vermijden door gebruik te maken van LDAPS (LDAP signing) voor de communicatie tussen de LDAP-server en Active Directory. Hiermee worden LDAP-verzoeken versleuteld en zijn ze dus een pak veiliger.

Wat gebeurt er?

Microsoft wil het gebruik van LDAPS daarom verplicht maken voor alle communicatie met Active Directory. In de tweede helft van 2020 zal Microsoft een update beschikbaar stellen. Na de installatie van de update, verandert de default instelling van Active Directory van LDAP naar LDAPS. Communicatie via LDAP is vanaf dan uitgeschakeld. Een exacte datum voor deze patch is echter nog niet gekend.

In de praktijk zal dit betekenen dat authenticatie voor o.a. client vpn's, Citrix Netscaler en wifi niet meer zal werken, indien u nog gebruik maakt van LDAP. Ook met printers kunnen er authenticatieproblemen ontstaan. U bereidt zich daarom best nu al voor door over te schakelen op het veiligere LDAPS.

Hoe kan Savaco u helpen?

Savaco helpt u graag om deze wijziging door te voeren. In een eerste stap gaan we na welke diensten en applicaties binnen uw omgeving op vandaag gebruikmaken van LDAP, en we vormen deze in een tweede stap om naar een LDAPS-configuratie. Zo bent u klaar om de verwachte Windows-patch uit te voeren van zodra die beschikbaar is, en kan u gerust zijn dat alle applicaties beschikbaar blijven voor de gebruikers.

Indien overschakelen naar LDAPS voor u niet mogelijk is, dan kunnen we als alternatief de domeincontrollers aanpassen, zodat ze toch het onveiligere LDAP ondersteunen. Hoe dan ook, bekijkt u in een eerste stap best welke diensten en applicaties vandaag gebruikmaken van LDAP.

Hebt u hierover bijkomende vragen? Neem dan gerust contact op met uw vertrouwde contactpersoon of via ons contactformulier.