{"id":107046,"date":"2020-02-10T17:36:08","date_gmt":"2020-02-10T16:36:08","guid":{"rendered":"https:\/\/test.easy-software.com\/de\/?post_type=support_news&#038;p=91721"},"modified":"2024-12-09T09:19:14","modified_gmt":"2024-12-09T08:19:14","slug":"microsoft-ldaps-patch-easy-capture-plus","status":"publish","type":"support_news","link":"https:\/\/easy-software.com\/de\/support_news\/microsoft-ldaps-patch-easy-capture-plus\/","title":{"rendered":"Microsoft LDAPS Patch easy Capture Plus"},"content":{"rendered":"<div class=\"gb-container gb-container-bff3e728\">\n<div class=\"gb-container gb-container-21f239a0\">\n<div class=\"gb-grid-wrapper gb-grid-wrapper-21d3b66e\">\n<div class=\"gb-grid-column gb-grid-column-8f04805b\"><div class=\"gb-container gb-container-8f04805b\">\n\n<p>Auf Active Directory Domain Controllern gibt es eine Reihe von unsicheren Standardkonfigurationen f\u00fcr LDAP-channel binding und LDAP-signing. LDAP-channel binding und LDAP-signing bieten M\u00f6glichkeiten, die Sicherheit f\u00fcr die Kommunikation zwischen LDAP-Clients und Active Directory-Dom\u00e4nencontrollern zu erh\u00f6hen. In einer kommenden Version wird Microsoft ein Windows-Update zur Verf\u00fcgung stellen, das standardm\u00e4\u00dfig LDAP-channel binding und LDAP-signing auf sicherere Konfigurationen umstellen wird.<\/p>\n\n\n\n<h2 class=\"gb-headline gb-headline-fe618b8b gb-headline-text gb-headline-h2-darkblue-small\">Microsoft wird aus Sicherheitsgr\u00fcnden LDAP damit standardm\u00e4\u00dfig nicht mehr unterst\u00fctzen<\/h2>\n\n\n\n<p>Documents5 unterst\u00fctzt LDAPS (LDAP over TLS) ab Version 5d HF1 Build 2065 und h\u00f6her.<\/p>\n\n\n\n<p>Bis einschlie\u00dflich Documents 5e HF2 Build 2105 sind allerdings \u00dcbersetzungsdateien und Scripte im Verzeichnis .\\server\\locale\\ bzw. .\\server\\scriptlibs\\ zu aktualisieren, in sp\u00e4teren Versionen von Documents 5 (&gt; Build 2105) ist dies nicht mehr notwendig,<\/p>\n\n\n\n<p>Die Dokumentation f\u00fcr LDAPS und die aktuellen Scripte werden hier bereitgestellt:<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Voraussetzungen<\/h4>\n\n\n\n<p>DOCUMENTS unterst\u00fctzt ab der Version 5.0d HF1 (#2065) LDAP OVER SSL.<\/p>\n\n\n\n<p>Vorausgesetzt wird zun\u00e4chst, dass auf dem AD LDS Server LDAP OVER SLL aktiviert wurde und dass eine LDAP-Connection \u00fcber TLS\/SSL hergestellt werden kann. Dies kann auf dem AD \u00fcber die Kommandozeile mit dem Programm \u201eldp\u201c \u00fcberpr\u00fcft werden:<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/easy-software.com\/wp-content\/uploads\/2020\/02\/verbinden-ssl.jpg\" alt=\"easy Capture Plus for LDAPS\"\/><\/figure>\n\n\n\n<p>Ein erfolgreicher SSL-Verbindungsaufbau wird entsprechend protokolliert.<\/p>\n\n\n\n<p>Weiter wird vorausgesetzt, dass man mit dem Einrichten und Konfigurieren des LDAP-Jobs auf dem Standardport 389 (unverschl\u00fcsselt) vertraut ist (z.B. \u00fcber den LDAP Konfigurations-Wizard im DOCUMENTS Manager oder \u00fcber den Konfigurationsmappentypen).<\/p>\n\n\n\n<p>Im Folgenden werden nur die Punkte aufgef\u00fchrt, bei denen es zu Abweichungen zur LDAP-Standardkonfiguration kommt:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Erzeugung der notwendigen PEM-Zertifikatsdatei f\u00fcr die TLS\/SSL Verbindung zwischen dem DOCUMENTS Server und dem AD LDS<\/li>\n\n\n\n<li>Testen der Verbindungsparameter und Konfiguration des DOCUMENTS Server zur Verwendung von TLS\/SSL<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">Zertifikatskette des AD LDS<\/h4>\n\n\n\n<p>Im Folgenden wird ausgehend vom SSL-Zertifikat des AD LDS Servers eine \u201eZertifikats\u201c-Datei im PEM-Format f\u00fcr den DOCUMENTS-Server erzeugt.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/easy-software.com\/wp-content\/uploads\/2020\/02\/zertifikat-ldap-server.jpg\" alt=\"LDAP Zertikfikat\"\/><\/figure>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/easy-software.com\/wp-content\/uploads\/2020\/02\/zertifikat-ldap-server-allgemein.jpg\" alt=\"LDAP Zertikfikat Allgemein\"\/><\/figure>\n\n\n\n<p>In der Abbildung oben wird das SSL-Zertifikat des AD-Rechners mit dem Namen \u201e3-AD-Server\u201c gezeigt. Ausgestellt wurde das Zertifikat von der CA \u201e2-Zwischen-CA\u201c, die ihrerseits durch \u201e1-Root-CA\u201c zertifiziert wurde. Der DOCUMENTS Server ben\u00f6tigt zur Verifikation der Verbindung nur das Root-CA, welches im Folgenden exportiert wird.<a href=\"https:\/\/easy-software.com\/de\/support_news\/microsoft-ldaps-patch-easy-dms\/#\"><\/a> Es muss ausschlie\u00dflich das oberste Zertifikat (1-Root-CA) exportiert werden.<\/p>\n\n\n\n<p>Anhand des Zertifikates wird in wenigen Schritten eine \u201ePEM-Zertifikats\u201c-Datei erstellt, die dann auf dem DOCUMENTS-Server hinterlegt werden muss.<\/p>\n\n\n\n<p>1) Das Zertifikat \u201e3\u2013AD-Server\u201c am Ende der Zertifikatskette und m\u00f6gliche Zwischenzertifikate (hier \u201e2-Zwischen-CA\u201c) m\u00fcssen nicht weiter beachtet werden.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/easy-software.com\/wp-content\/uploads\/2020\/02\/root-zertifikat-auswaehlen.jpg\" alt=\"Das Root-Zertifikat ausw\u00e4hlen und anzeigen\"\/><\/figure>\n\n\n\n<p>2) Auf dem Detaildialog f\u00fcr das Zertifikat \u201e1-Root-CA\u201c kann nun \u00fcber den Button \u201eIn Datei kopieren\u201c ein Zertifikatsexport angesto\u00dfen werden.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/easy-software.com\/wp-content\/uploads\/2020\/02\/root-zertifikat.jpg\" alt=\"Root Zertifikat\"\/><\/figure>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/easy-software.com\/wp-content\/uploads\/2020\/02\/root-zertifikat-export.jpg\" alt=\"Root Zertifikat exportieren\"\/><\/figure>\n\n\n\n<p>3) Das Zertifikat \u201eBase 64 codiert X.509 (.CER)\u201c z.B. in die Datei \u201eadroot.cer\u201c exportieren.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/easy-software.com\/wp-content\/uploads\/2020\/02\/zertifikatexport-base64.jpg\" alt=\"Zertifikatsexport Base-64-codiert veranlassen\"\/><\/figure>\n\n\n\n<p>4) Die Datei adroot.cer in adroot.pem umbenennen (das Base-64-codiert X.509 (.CER) Format entspricht dem PEM-Format).<\/p>\n\n\n\n<p>Die adroot.pem muss dann dem DOCUMENTS -Server so zur Verf\u00fcgung gestellt werden, dass dieser darauf zugreifen kann, indem man sie beispielsweise im Serververzeichnis ablegt.<a href=\"https:\/\/easy-software.com\/de\/support_news\/microsoft-ldaps-patch-easy-dms\/#\"><\/a> Ein korrekt konfigurierter LDAPS \u2013 Server liefert m\u00f6gliche Zwischenzertifikate beim TLS\/SSL-Handshake implizit aus. Falls durch fehlerhafte Konfiguration dies nicht erfolgt, k\u00f6nnen in der pem-Datei weitere Zwischenzertifikate miteingef\u00fcgt werden.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">DOCUMENTS-LDAPS-Konfiguration<\/h4>\n\n\n\n<p>Zur Pr\u00fcfung Zun\u00e4chst muss das Testskript \u201eotrTestLdapConnection.xml\u201c importiert werden. Die Datei wird mit ausgeliefert und befindet sich im Verzeichnis \u201e\\server\\scriptlibs\\Ldap\\\u201c.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/easy-software.com\/wp-content\/uploads\/2020\/02\/xml-import.jpg\" alt=\"XML-Import der openLdapSSLConnection.xml\"\/><\/figure>\n\n\n\n<p>Anschlie\u00dfend m\u00fcssen die Verbindungsdaten als Script-Parameter konfiguriert und das Skript ausgef\u00fchrt werden. (Bitte keine \u00c4nderungen am Script-Quelltext durchf\u00fchren, da es signiert ist und damit auch ohne Scripting-Lizenz ausf\u00fchrbar ist.)<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/easy-software.com\/wp-content\/uploads\/2020\/02\/verbindungsdaten-ssl.jpg\" alt=\"Verbindungsdaten f\u00fcr den SSL-Zugriff\"\/><\/figure>\n\n\n\n<p>Wenn die Verbindung ge\u00f6ffnet werden konnte, so wird im Serverfenster und auf dem Client die folgende Meldung ausgegeben:<\/p>\n\n\n\n<p>Verbindung hergestellt mit [Domain-Name]<\/p>\n\n\n\n<p>Kann die Verbindung nicht hergestellt werden, so wird die Fehlermeldung angezeigt, die aus der openLdap-Schnittstelle an den Server weitergereicht wurde.<a href=\"https:\/\/easy-software.com\/de\/support_news\/microsoft-ldaps-patch-easy-dms\/#\"><\/a> Wenn \u00c4nderungen am caCertFile vorgenommen wurden, kann es notwendig sein den DOCUMENTS-Server neu zu starten, da die openLdap-Schnittstelle die Zertifikate cached.<\/p>\n\n\n\n<p>Wenn der Verbindungstest erfolgreich war, so m\u00fcssen f\u00fcr den LDAP-Job und das LDAP-Logon im Weiteren die SSL-spezifischen Parameter als Eigenschaften am Mandanten oder optional in dem Skript \u201eLdapParamDomain\u201c angepasst werden.<\/p>\n\n\n\n<p>Wenn die Konfiguration mit Hilfe des LDAP Wizards im DOCUMENTS Manager durchgef\u00fchrt wurde, empfiehlt es sich am Mandanten die Eigenschaften LdapPort, LdapEnableSSL und LdapCaCertFile zu setzen (in zuk\u00fcnftigen Versionen von DOCUMENTS kann diese Konfiguration im LDAP Wizard durchgef\u00fchrt werden).<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/easy-software.com\/wp-content\/uploads\/2020\/02\/ldpap-ssl-eigenschaften.jpg\" alt=\"LDAP-SSL Eigenschaften am Mandanten\"\/><\/figure>\n\n\n\n<p>Optional kann die Konfiguration im Script \u201eserver\\scriptlibs\\Ldap\\LdapParamDomain.js\u201c vorgenommen werden (z.B., wenn mehrere LDAPS-Server angesprochen werden m\u00fcssen) oder falls die LDAP-Scripte in den DOCUMENTS-Manager importiert wurden (XML-Import: 01_LDAP_Scripts.xml), dann muss die Konfiguration im DOCUMENTS-Manager im PortalScript \u201eLdapParamDomain\u201c erfolgen.<\/p>\n\n\n\n<figure class=\"wp-block-image is-resized\"><img decoding=\"async\" src=\"https:\/\/easy-software.com\/wp-content\/uploads\/2020\/02\/ldapparamdomain.jpg\" alt=\"LdapParamDomain\" style=\"width:792px;height:291px\"\/><\/figure>\n\n\n\n<p><\/p>\n\n\n<div class=\"gb-button-wrapper gb-button-wrapper-7b9370aa\">\n\n<a class=\"gb-button gb-button-31e9d539 gb-button-text gb-button-solid-outline-btn\" href=\"https:\/\/easy-software.com\/wp-content\/uploads\/2018\/05\/ldaps-mit-easy-capture-plus.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">dokumentation<\/a>\n\n<\/div>\n\n\n<a class=\"gb-button gb-button-02de179c gb-button-text gb-button-solid-outline-btn\" href=\"https:\/\/support.microsoft.com\/en-us\/help\/4034879\/how-to-add-the-ldapenforcechannelbinding-registry-entry\" target=\"_blank\" rel=\"noopener noreferrer\">Rollback anleitung<\/a>\n\n\n\n<p><\/p>\n\n\n<div class=\"gb-container gb-container-b860e3f3\">\n\n<p class=\"gb-headline gb-headline-dabaf045 gb-headline-text gb-headline-small\">Support f\u00fcr bestandskunden?<\/p>\n\n\n\n<p class=\"gb-headline gb-headline-7768e61d gb-headline-text\">Nutzen Sie die Informationen und Channels in unserem Support-Portal.<\/p>\n\n\n\n<a class=\"gb-button gb-button-14c027ff gb-button-large-btn\" href=\"https:\/\/portal.easy-software.com\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\"><span class=\"gb-button-text\">easy Portal<\/span><span class=\"gb-icon\"><svg version=\"1.1\" id=\"Ebene_1\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" xmlns:xlink=\"http:\/\/www.w3.org\/1999\/xlink\" x=\"0px\" y=\"0px\" viewBox=\"0 0 48 48\" style=\"enable-background:new 0 0 48 48;\" xml:space=\"preserve\"><path d=\"m29.95 39.1-3.25-3.2 9.6-9.65h-33V21.7h33l-9.6-9.65 3.25-3.2L45.05 24Z\"><\/path><\/svg><\/span><\/a>\n\n<\/div>\n<\/div><\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>F\u00fcr die Nutzung von LDAPS mit EASY Capture Plus ist kein Update erforderlich. Sie m\u00fcssen nur eine Einstellung in der EASY Capture Konfiguration vornehmen.<\/p>\n","protected":false},"author":1,"featured_media":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":"","_links_to":"","_links_to_target":""},"easy_product":[1166],"third-party_provider":[1163],"class_list":["post-107046","support_news","type-support_news","status-publish","format-standard","hentry","easy_product-easy-capture-plus","third-party_provider-microsoft","no-featured-image-padding"],"acf":[],"_links":{"self":[{"href":"https:\/\/easy-software.com\/de\/wp-json\/wp\/v2\/support_news\/107046","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/easy-software.com\/de\/wp-json\/wp\/v2\/support_news"}],"about":[{"href":"https:\/\/easy-software.com\/de\/wp-json\/wp\/v2\/types\/support_news"}],"author":[{"embeddable":true,"href":"https:\/\/easy-software.com\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/easy-software.com\/de\/wp-json\/wp\/v2\/comments?post=107046"}],"version-history":[{"count":0,"href":"https:\/\/easy-software.com\/de\/wp-json\/wp\/v2\/support_news\/107046\/revisions"}],"wp:attachment":[{"href":"https:\/\/easy-software.com\/de\/wp-json\/wp\/v2\/media?parent=107046"}],"wp:term":[{"taxonomy":"easy_product","embeddable":true,"href":"https:\/\/easy-software.com\/de\/wp-json\/wp\/v2\/easy_product?post=107046"},{"taxonomy":"third-party_provider","embeddable":true,"href":"https:\/\/easy-software.com\/de\/wp-json\/wp\/v2\/third-party_provider?post=107046"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}