Bei der BROCKHAUS-AG treten Anmeldeprobleme auf mit folgender Fehlermeldung: "Vertec konnte sich nicht mit dem LDAP Authentisierungsserver verbinden."
Die Ursache liegt in der Validierung des Fingerprints:
Der LDAP Server bezieht sein Zertifikat aus einer eigenen Windows CA. Das heißt, die Zertifikate werden automatisch ausgestellt und auch erneuert. Die Logik vom LDAP Server, welches Zertifikat er nun verwendet, kann man schlecht steuern, es wird immer das genommen, was am längsten gültig ist.
Wenn nun der Domain Controller ein neues Zertifikat zugewiesen bekommt oder eins erneuert, weil dieses kurz vor dem Ablaufen ist, ändert sich automatisch auch das LDAP Zertifikat und somit auch der Fingerprint. Das führt dann zum oben geschilderten Anmelde-Problem.
Das Anmeldeproblem kann nur dadurch gelöst werden, dass man in den "Systemeinstellungen" unter "Authentisierung" das neue Zertifikat im Feld "LDAPS Zertifikat-Fingerabdruck" einträgt. Voraussetzung ist, dass man herausfindet, welches Zertifikat der LDAP Server aktuell verwendet, und das ist etwas aufwändig.
Frage:
Aus Sicht unserer IT ist bei Vertec die Validierung des LDAPS-Fingerprints nicht unbedingt erforderlich, da der Fingerprint in der Regel nur verwendet wird, um ein bestimmtes Zertifikat zu identifizieren und nicht, um es zu validieren.
Wer hat ähnliche Erfahrungen gemacht und würde es auch begrüßen, wenn in Vertec keine Validierung des Fingerprints erfolgen würde?