Hallo, im AD welches ich verwalte ist folgende Richtlinie aktiv:

Domänencontroller: Signaturanforderungen Eigenschaften für LDAP-Server: erforderlich

MS: Gewusst wie: Aktivieren der LDAP-Signierung in Windows Server 2008

Es wurde niemals ein Zertifikat dafür erstellt. Also nur diese Richtlinie auf aktiv gesetzt.

Da sich aber alle Windows Clients anmelden können wird wohl SSl verwendet.

Welches zertifikat verwenden die Clients denn standardmäßig und wo finde ich es?

Denn mit Linux maschinen kann ich mich nicht verbinden auf LDAPs ohne ein zertifikat zu hinterlegen.

Auf dem DC das "DCNAME.cer" ist es nicht.

DANKE

Der Server lässt vermutlich nur noch Anfragen über verschlüsselte Verbindungen zu. Ich würde mir mal die Zertifikate auf dem System anschauen (mmc -> Zertifikate-SnapIn, für die privater Schlüssel vorhanden ist). Die Clients benötigen keine Zertifikate, nur der Server muss sich ausweisen, wenn die Option aktiv ist.

Da die RedHat-Systeme keine AD-Integration besitzen, werden die auch nicht automatisch das selbst-signierte(?) Zertifikat des LDAP-Servers als vertrauenswürdig einstufen.

Verwendet ihr intern eine Microsoft-Zertifikatsinfrastruktur?

Nein, keine Zertifikatsinfastruktur.

Siehe Anhang.

Was denkst Du in welchem Abschnitt müsste das entsprechende zertifikat zu finden sein?

Beim "DCName.cer" erhalte ich beim importieren auf Linux (Vmware Appliance) den Fehler "premature end onf file".

Ist also wohl zu kurz.

Vielen Dank schon so weit!

Ggf. hilft das hier weiter: https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx#Exporting_and_Importing_the_LDAPS_Certificate

Die verwendeten Zertifikate sollten entweder im Dienst- oder Computerkonto sein.

Das unbewusste Verwenden von Zertifikaten irgendwo auf DCs oder generell im AD ist tendenziell nicht so prickelnd. Das sollte alles ausgestellt werden, solange dafür kein entsprechendes Konzept aufgebaut ist.

Ja, danke, so konnte ich das problem lösen!