Bei der Konfiguration eines AD-Profils (Active Directory-Profils) innerhalb der Blancco Management Console für die Verwendung der externen Authentifizierung sind bei Auswahl der Option "Sichere Verbindung" zusätzliche Schritte erforderlich, damit die Authentifizierung erfolgreich über LDAPS (Lightweight Directory Access Protocol over SSL) ausgeführt werden kann.

Da die Management Console eine Verbindung mit LDAPS über JSSE (Java Secure Socket Extension) herstellt, muss der von JSSE verwendete Truststore/Keystore ein Zertifikat enthalten, das von der CA (Certificate Authority) zum Signieren des LDAPS-Zertifikats signiert wurde. Standardmäßig verwendet die Management Console den JRE-Truststore (Java Runtime Environment). Dieser Truststore befindet sich unter <JRE_Installationspfad>\lib\security, und sein Name lautet cacerts.

Damit die Verbindung mit dem LDAPS gesichert werden kann, muss das CA-signierte Zertifikat in den cacerts-Truststore importiert werden. Dazu muss das kommandozeilenbasierte Keytool verwendet werden, das mit JRE geliefert wird. Ein Benutzerhandbuch für Windows ist verfügbar, ein separates für Solaris und Unix-basierte Systeme, die die Verwendung des Keytools abdecken.

Um alle im cacerts Truststore vorhandenen Zertifikate aufzulisten, sollte der folgende Befehl ausgeführt werden:

Listet alle gespeicherten Zertifikate auf
keytool -list -keystore "c:\Program Files\Java\jre1.8.0_151\lib\security\cacerts" -storepass changeit

Hier wird vorausgesetzt, dass sich JRE im Ordner c:\Programme\Java\jre1.8.0_151 befindet und dass das Kennwort für den Standard-Truststore changeit ist. Dieses Kennwort ist der Standardwert für diesen Truststore und kann bei Bedarf geändert werden.

Um das Zertifikat zu importieren, das von der Zertifizierungsstelle signiert wurde, die das Zertifikat für LDAPS ausgestellt hat, sollte der folgende Befehl ausgeführt werden:

Zertifikat in den Truststore importieren
keytool -importcert -file c:\somecert.cer -keystore "c:\Program Files (x86)\Java\jre7\lib\security\cacerts" -storepass changeit

Nach dem erfolgreichen Import des Zertifikats in den Truststore muss der Blancco Management Console Dienst neu gestartet werden. Nach Abschluss ist die Authentifizierung von AD-Benutzerkonten über LDAPS möglich.

  • No labels