Was gibt’s neues in ONTAP 9 – CIFS Teil 4

Was gibt’s neues in ONTAP 9 – CIFS Teil 49.png

 

Willkommen zurück zu Teil 4. Das Thema heute: „LDAP Signing und Sealing“

 

Bevor ich in meinem heutigen Blog auf das Thema LDAP Signing und Sealing eingehe,

möchte ich nochmal in Erinnerung bringen, dass per Default die LDAP Kommunikation

zwischen Server und Client ungesichert und unverschlüsselt über die Leitung geht.

 

D.h. ohne entsprechende Sicherheitsfunktionen wäre es für einen Angreifer möglich,

per Netzwerk Sniffer die Pakete zu „capturen“.

 

Während eines sogenannten „LDAP simple bind“ könnte so der Angreifer die unverschlüsselten

Usernamen als auch Passwörter mitlesen.

 

Zur Absicherung der Kommunikation und zum Schutz vor Man-in-the-Middle Attacken zwischen dem

Active Directory Domain Controller und dem Client bietet Microsoft verschiedene Funktionen:

 

  1. LDAP Signing & Sealing oder
  2. LDAP over SSL/TLS

In clustered ONTAP Version 8.3 hatten wir bereits den Support von LDAP over SSL/TLS eingeführt.

 

Mit ONTAP 9 steht nun auch der Support von LDAP Signing und Sealing zur Verfügung.  

 

Wie in der nachfolgenden Abbildung dargestellt, kann man über die folgende Einstellung LDAP Signing

und/oder Sealing pro SVM aktivieren bzw. deaktivieren.

 

Dafür stehen drei verschiedene Optionen zur Verfügung:

 

  1. none (default) - signing and sealing are disabled
  2. sign - Enables certificate authentication
  3. seal - Enables encryption and certificate authentication

 

Bildx1.png

 

Eine weitere wichtige Änderung bei ONTAP 9 im Zusammenhang mit LDAP ist die Abkündigung für die „LDAP over SSL“ Unterstützung.

Aufgrund der bekannten SSL Security Herausforderungen werden mit ONTAP 9 nur noch LDAP over TLSv1, v1.1 oder v1.2 unterstützt.

  

Vor allem Kunden, die heute LDAP over SSL einsetzen und auf ONTAP 9 upgraden, sollten dies im jeweiligen Upgrade Prozess berücksichtigen.

 

Ich hoffe, der heutige Blog war für sie hilfreich.