
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">

</head>

<body>

<div>

<div dir="ltr">

<div></div>

<div data-ogsc="" style="">

<div>

<div style="direction: ltr;">Hello,</div>

<div><br>

</div>

<div style="direction: ltr;">I have now repeated the tests with LdapEnforceChannelBinding=2 and I could see the rejection with error code 80090346 for GSSAPI and DIGEST-MD5 with TLS.</div>

<div><br>

</div>

<div style="direction: ltr;">The simple bind with TLS and the GSSAPI or DIGEST-MD5 without TLS but with auth-int/conf all work with signing and binding required (I.e after Microsoft charged defaults in March)</div>

<div><br>

</div>

<div style="direction: ltr;">(Which makes the TLS binding a bit useless, but we should still think about supporting it.)</div>

<div><br>

</div>

<div style="direction: ltr;">Jgss seems to already allow to set it, so only JSSE needs to provide an api for sasl/jndi.</div>

<div><br>

</div>

<div style="direction: ltr;">Gruß</div>

<div style="direction: ltr;">Bernd</div>

</div>

<div><br>

</div>

<div class="ms-outlook-ios-signature">

<div style="direction: ltr;">-- </div>

<div style="direction: ltr;">https://Bernd.eckenfels.net</div>

</div>

</div>

</div>

<div> </div>

<hr style="display:inline-block;width:98%" tabindex="-1">

<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif"><b>Von:</b> Michael Osipov <1983-01-06@gmx.net><br>

<b>Gesendet:</b> Sonntag, Januar 19, 2020 11:15 AM<br>

<b>An:</b> Bernd Eckenfels<br>

<b>Cc:</b> security-dev@openjdk.java.net<br>

<b>Betreff:</b> Re: LDAP Channel Binding

<div> </div>

</font></div>

Am 2020-01-19 um 08:02 schrieb Bernd Eckenfels: <br>

> You said it is confusing, but the bug you mentioned is only a valid <br>

> feature request, it does not talk about failing binds. I would assume <br>

> that Kerberos needs the binding token and the others not. <br>

> Unfortunatelly the doc from Microsoft is quite incomplete and <br>

> confusing. <br>

<br>

The problem is that JSSE Sun Impl documentation does not even mention <br>

TLS channel binding. To make things worse, I agree with you, Microsoft's <br>

documentation is horrible. It does not say whether we are talking about <br>

GSS-API channel binding or TLS channel biding. <br>

<br>

The best I have comeup with is https://github.com/WinRb/rubyntlm/issues/27 <br>

https://docs.microsoft.com/en-us/previous-versions/visualstudio/visual-studio-2008/dd639324(v=vs.90)?redirectedfrom=MSDN

<br>

<br>

> So has anybody seeing failing TLS binds yet and if so, in which <br>

> condition? <br>

<br>

Yes, see https://stackoverflow.com/q/59756206/696632 <br>

<br>

What I can say is tht in our company auth-int has been mandatatory for <br>

several months now and my Java code always used auth-conf with GSSAPI <br>

mech w/o any flaws. <br>

<br>

> It is also not clear why AD proposes the auth. quality of protection <br>

> from digest-md5 if it is configured to reject it. So if somebody can <br>

> get Microsoft to look into this and provide details, that would be <br>

> great. <br>

> <br>

> Gruss Bernd <br>

> <br>

> <br>

> -- http://bernd.eckenfels.net ________________________________ Von: <br>

> Michael Osipov <1983-01-06@gmx.net> Gesendet: Saturday, January 18, <br>

> 2020 9:39:08 PM An: Bernd Eckenfels <ecki@zusammenkunft.net>; <br>

> security-dev@openjdk.java.net <security-dev@openjdk.java.net> <br>

> Betreff: Re: LDAP Channel Binding <br>

> <br>

> Am 2020-01-16 um 11:32 schrieb Bernd Eckenfels: <br>

>> Hello, <br>

>> <br>

>> Some updates: <br>

>> <br>

>> Microsoft moved their automatic update of the LDAP policies in <br>

>> Windows Server updates to March 2020 (but still recommend to <br>

>> activate it earlier). <br>

>> <br>

>> And I did some tests: when you turn on the mandatory LDAP Signing, <br>

>> then simple binds or Digest-md5 binds over LDAP are rejected by <br>

>> NTDS. Both work over ldaps: (Implicite TLS, did not check <br>

>> STARTTLS). DIGEST-MD5 without TLS is also possible, but you have to <br>

>> request qop=auth-int. (Sidenode AD will reject digest-md5 with <br>

>> Auth-int over TLS). I did not Test GSSAPI or SPNEGO yet. <br>

>> <br>

>> The mandatory LDAP channel binding does not seem to make a <br>

>> problem/change. I suspect it only applies to Kerberos or NTLM which <br>

>> I still need to test. <br>

> <br>

> That is confusing because: <br>

> https://bugs.openjdk.java.net/browse/JDK-6491070 <br>

> <br>

> I am excited to see your GSSAPI mech results. You cannot test SPENGO <br>

> because the Java SASL factory does not suppor the GSS-SPNEGO SASL <br>

> mech. <br>

> <br>

>> PS: testcode <br>

>> https://gist.github.com/ecki/cdd7a14575b7dca10da8d362974731a0 <br>

> <br>

> You code looks wrong. Retrieving data from RootDSE does not require <br>

> a successful bind. It will work anonymously. You need to go down the <br>

> tree. <br>

> <br>

> Look at ldapsearch(1), if you don't provide -Y GSSAPI, it will <br>

> perform a simple search for supportedSASLMechanisms and pick the best <br>

> one it supports. This is the same as obtaining the root naming <br>

> contexts, this can be done anonymously too. <br>

> <br>

> Michael <br>

> <br>

<br>

</div>

</body>

</html>