Spring Ldap Влияние Microsoft Security Advisory ADV190023 (привязка канала LDAP и подпись LDAP) - PullRequest
5 голосов
/ 27 февраля 2020

Мы используем Spring Security Ldap Library (v4.0.4), чтобы получить список пользователей из Active Directory нашего клиента (ldap: // domain: 389) и аутентифицировать их для входа в наше веб-приложение.

Microsoft недавно опубликовала рекомендации по включению привязки канала LDAP и подписи LDAP: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023

«Связывание канала LDAP и подпись LDAP предоставляют способы повысить безопасность обмена данными между клиентами LDAP и контроллеры домена Active Directory. На контроллерах домена Active Directory существует набор небезопасных конфигураций по умолчанию для привязки канала LDAP и подписывания LDAP, которые позволяют клиентам LDAP связываться с ними без принудительного связывания канала LDAP и подписывания LDAP. Это может открыть контроллеры домена Active Directory для повышения уязвимостей привилегий. "

Нас спросили, повлияет ли на наши процессы включение привязки каналов LDAP и подписи LDAP на их серверах. Не удалось найти информацию об этом в документации: https://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#ldap

Поддерживаются ли они в Spring Security Ldap Library (v4.0.4)? Если да, есть ли какая-либо конфигурация, которую мы должны изменить, чтобы убедиться, что что-то не затронуто?

Ответы [ 2 ]

0 голосов
/ 23 марта 2020

Вот официальный ответ, который я получил со страницы проекта Github, для людей, которые могут найти его полезным:

https://github.com/spring-projects/spring-security/issues/8037

Нет, Поддержка AD в Spring Security обеспечивает простое связывание с именем пользователя и паролем пользователя. Единственное доступное улучшение безопасности - использование TLS. Если приложению требуется привязка канала, я думаю, что это будет через GSS-API Java.

Поскольку 4.0.x больше не является поддерживаемой ветвью, любая добавленная поддержка с большой вероятностью go в современные версии Spring Security.

Конечно, если вы обнаружите какие-либо проблемы по пути или хотели бы предложить какую-либо функцию, не стесняйтесь открывать другую проблему и, возможно, связать ее с этой. .

0 голосов
/ 07 марта 2020

Spring Security Ldap Library (v4.0.4) выпущен в феврале 2016 года, который слишком стар, чтобы поддерживать привязку канала LDAP и подпись LDAP для Рекомендации по безопасности Microsoft , опубликованные в августе 2019 года .

Я рекомендую обновить Ldap-библиотеку Spring Security до новой стабильной версии 5.3.0

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...