<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<body>
<div>
<div dir="ltr">
<div></div>
<div data-ogsc="" style="">
<div>
<div style="direction: ltr;">Hello,</div>
<div><br>
</div>
<div style="direction: ltr;">I have now repeated the tests with LdapEnforceChannelBinding=2 and I could see the rejection with error code 80090346 for GSSAPI and DIGEST-MD5 with TLS.</div>
<div><br>
</div>
<div style="direction: ltr;">The simple bind with TLS and the GSSAPI or DIGEST-MD5 without TLS but with auth-int/conf all work with signing and binding required (I.e after Microsoft charged defaults in March)</div>
<div><br>
</div>
<div style="direction: ltr;">(Which makes the TLS binding a bit useless, but we should still think about supporting it.)</div>
<div><br>
</div>
<div style="direction: ltr;">Jgss seems to already allow to set it, so only JSSE needs to provide an api for sasl/jndi.</div>
<div><br>
</div>
<div style="direction: ltr;">Gruß</div>
<div style="direction: ltr;">Bernd</div>
</div>
<div><br>
</div>
<div class="ms-outlook-ios-signature">
<div style="direction: ltr;">-- </div>
<div style="direction: ltr;">https://Bernd.eckenfels.net</div>
</div>
</div>
</div>
<div> </div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif"><b>Von:</b> Michael Osipov <1983-01-06@gmx.net><br>
<b>Gesendet:</b> Sonntag, Januar 19, 2020 11:15 AM<br>
<b>An:</b> Bernd Eckenfels<br>
<b>Cc:</b> security-dev@openjdk.java.net<br>
<b>Betreff:</b> Re: LDAP Channel Binding
<div> </div>
</font></div>
Am 2020-01-19 um 08:02 schrieb Bernd Eckenfels: <br>
> You said it is confusing, but the bug you mentioned is only a valid <br>
> feature request, it does not talk about failing binds. I would assume <br>
> that Kerberos needs the binding token and the others not. <br>
> Unfortunatelly the doc from Microsoft is quite incomplete and <br>
> confusing. <br>
<br>
The problem is that JSSE Sun Impl documentation does not even mention <br>
TLS channel binding. To make things worse, I agree with you, Microsoft's <br>
documentation is horrible. It does not say whether we are talking about <br>
GSS-API channel binding or TLS channel biding. <br>
<br>
The best I have comeup with is https://github.com/WinRb/rubyntlm/issues/27 <br>
https://docs.microsoft.com/en-us/previous-versions/visualstudio/visual-studio-2008/dd639324(v=vs.90)?redirectedfrom=MSDN
<br>
<br>
> So has anybody seeing failing TLS binds yet and if so, in which <br>
> condition? <br>
<br>
Yes, see https://stackoverflow.com/q/59756206/696632 <br>
<br>
What I can say is tht in our company auth-int has been mandatatory for <br>
several months now and my Java code always used auth-conf with GSSAPI <br>
mech w/o any flaws. <br>
<br>
> It is also not clear why AD proposes the auth. quality of protection <br>
> from digest-md5 if it is configured to reject it. So if somebody can <br>
> get Microsoft to look into this and provide details, that would be <br>
> great. <br>
> <br>
> Gruss Bernd <br>
> <br>
> <br>
> -- http://bernd.eckenfels.net ________________________________ Von: <br>
> Michael Osipov <1983-01-06@gmx.net> Gesendet: Saturday, January 18, <br>
> 2020 9:39:08 PM An: Bernd Eckenfels <ecki@zusammenkunft.net>; <br>
> security-dev@openjdk.java.net <security-dev@openjdk.java.net> <br>
> Betreff: Re: LDAP Channel Binding <br>
> <br>
> Am 2020-01-16 um 11:32 schrieb Bernd Eckenfels: <br>
>> Hello, <br>
>> <br>
>> Some updates: <br>
>> <br>
>> Microsoft moved their automatic update of the LDAP policies in <br>
>> Windows Server updates to March 2020 (but still recommend to <br>
>> activate it earlier). <br>
>> <br>
>> And I did some tests: when you turn on the mandatory LDAP Signing, <br>
>> then simple binds or Digest-md5 binds over LDAP are rejected by <br>
>> NTDS. Both work over ldaps: (Implicite TLS, did not check <br>
>> STARTTLS). DIGEST-MD5 without TLS is also possible, but you have to <br>
>> request qop=auth-int. (Sidenode AD will reject digest-md5 with <br>
>> Auth-int over TLS). I did not Test GSSAPI or SPNEGO yet. <br>
>> <br>
>> The mandatory LDAP channel binding does not seem to make a <br>
>> problem/change. I suspect it only applies to Kerberos or NTLM which <br>
>> I still need to test. <br>
> <br>
> That is confusing because: <br>
> https://bugs.openjdk.java.net/browse/JDK-6491070 <br>
> <br>
> I am excited to see your GSSAPI mech results. You cannot test SPENGO <br>
> because the Java SASL factory does not suppor the GSS-SPNEGO SASL <br>
> mech. <br>
> <br>
>> PS: testcode <br>
>> https://gist.github.com/ecki/cdd7a14575b7dca10da8d362974731a0 <br>
> <br>
> You code looks wrong. Retrieving data from RootDSE does not require <br>
> a successful bind. It will work anonymously. You need to go down the <br>
> tree. <br>
> <br>
> Look at ldapsearch(1), if you don't provide -Y GSSAPI, it will <br>
> perform a simple search for supportedSASLMechanisms and pick the best <br>
> one it supports. This is the same as obtaining the root naming <br>
> contexts, this can be done anonymously too. <br>
> <br>
> Michael <br>
> <br>
<br>
</div>
</body>
</html>