skyerjoe

Guten morgen, Es klappt irgendwie immer noch nicht. Aber.... da das hier ein windows forum ist, würde ich sagen, dass mir vielleicht jemand helfen kann, erstmal die Windows Seite abzudecken .... Was ich denke das nötig ist: 1. Zertifikat muss im Zertifikatsspeicher sein ( wie kann ich eigentlich zertifikate explizit dahin verschieben)? 2. Es muß bei "eigene Zertifikate" in lokaler Computer installiert sein. 3. Es muss alle Berechtigungen haben. 4. Rechte von authentfizierten Benutzern setzen. 5. CA CERT muss in den "vertrauenswürdigen Stammzertifizierungsstellen sein. Fällt jemanden auf der Windows seite sonst noch was ein? Ps: wie kann ich die überschrift von dem thread ändern? grüße skyerjoe

@blub denke nicht, dass es daran liegt da, wenn ich mit open_ssl einen connect mache, openssl s_client -connect xxx.xxx.xxx.xxx:636 kommt folgende meldung zurück: CONNECTED(00000003) --- Certificate chain 0 s:/CN=xxx.xxx.local i:/CN=xxxx.xxxx.local --- Server certificate -----BEGIN CERTIFICATE----- xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx -----END CERTIFICATE----- subject=/CN=xxx.xxx.local issuer=/CN=xxxx.xxxx.local --- Acceptable client certificate CA names /DC=local/DC=xxx/CN=xxxx-xxxx-CA /CN=CAxxx /C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority /C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority - G2/OU=(c) 1998 VeriSign, Inc. - For authorized use only/OU=VeriSign Trust Network /C=US/O=GTE Corporation/OU=GTE CyberTrust Solutions, Inc./CN=GTE CyberTrust Global Root /C=DE/ST=none/L=none/O=SBA/CN=xxx.xxx.local /OU=Copyright (c) 1997 Microsoft Corp./OU=Microsoft Corporation/CN=Microsoft Root Authority /DC=com/DC=microsoft/CN=Microsoft Root Certificate Authority /CN=NT AUTHORITY --- SSL handshake has read 1754 bytes and written 459 bytes --- New, TLSv1/SSLv3, Cipher is AES128-SHA Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1 Cipher : AES128-SHA Session-ID: 324i0ßi0ß234i0ß234i0ß234i0ß234230i0ß234E6235DF2B6863A365ABB04043 Session-ID-ctx: Master-Key: 000000000000000000000000000000000000000000000529CE6AA71521FCA6A6E5C73446B201651FD2F8 Key-Arg : None Start Time: 1305192634 Timeout : 300 (sec) Verify return code: 21 (unable to verify the first certificate) --- also so wie ich des sehe, connected er, aber er kann das zertifikat nicht verifizieren..... was könnte ich machen? grüße skyerjoe

Habe etz mal ein ldapsearch versucht über ssl der scheitert.... Befehl : sudo ldapsearch -h xxx.xxx.local -p 636 -Z -D "xxx\user" -w "password" -b " CN=Configuration,DC=xxx,DC=xxxx" -s sub "sAMAccountName=USER" Es kommt dann folgende errormeldung: ldap_start_tls: Can't contact LDAP server (-1) ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) ich frage mich was ich übersehe oder ob ich evtl. irgendwie in ubuntu das zertifikat installieren muss. Ich habe nur gefunden, dass die zertifikate in dem verzeichnissen in /etc/ssl liegen müssen grüße skyerjoe

Das ist vollkommen in ordnung ... denke das ist normal , wenn man relativ neu mit ner best. bereich befasst ... und bevor ich nie weiß, was ich fragen muss... Also zu meinem überraschung geht es jetzt auf einmal ... Bin nach dieser Anleitung vorgegangen: Event ID 1220 Das mit der CA Stelle klappt dann auch .... Ich kann jetzt eine verb. über ldp per ssl herstellen .....*freu So jetzt würde ich gerne noch die Sache mit der händischen Installation lösen, dass das auch geht also zu folgenden Punkten. Alles mit OID 1.3.6.1.5.5.7.3.1 ( Server Authentifizierung); und das pw ist nicht gesetzt, da ich bei einem externen dienst (webanwendung) nicht jedesmal ein pw mitgeben kann. und die cn ist auf den fqdn des AD servers gesetzt. Makecert CA: 1. CA mit schlüssel und key erstellt 2. per mmc die CA eingtragen unter "lokaler computer" ; "vertrauenswürdige zertifizierungsstellen" Makecert Clientzertifikat(versuch1) : 1. Clientzertifikat ohne schlüssel erstellt mit parameter localmachine in certificatsspeicher my übertragen .... Makecert Clientzertifikat(versuch2): 1.Clientzertifikat mit schlüssel erstellt und per mmc "lokaler computer" in "eigenes zertifikate" installiert. Makecert Clientzertifikat (versuch3): 1.Clientzertifikat mit Schlüssel erstellt, und per pvk2pfx konvertiert 2. CA Stelle installiert und importiert. Bezug: Using Makecert to Create Certificates for Development | DigitallyCreated Alle diese Versuche schlugen fehl Wie gesagt mit der CA Stelle ( neuer schlüssel erstellt) geht alles ( also jedenfalls bis etz auf Serverseite) Ps: Falls noch was fehlt bitte ich um Nachsicht ... ist das erstemal das ich mich an die Zertifikatsgeschichten wage ... grüße skyerjoe

Eine eigene CA Root hab ich schon erstellt ( per makecert) ist auch schon in den lokalen zertifikaten vertrauenstellungen bei ca drinnen aber... irgendwie klappt die verb. pder ssl mit ldp einfach nicht .... grüße skyerjoe

Das zertifikat selber ist nicht das problem, ich hab schwierigkeiten, dass ich ldap über ssl zum laufen kriege ... grüße skyerjoe

Morgen Kann ich bei windows 2008 ein zertifikat auch händisch ohne zertifikatsstelle erstellen ? so nach diesem muster vielleicht? : How to enable LDAP over SSL with a third-party certification authority oder geht das nur noch mit der zertifikatsstelle? beste grüße skyerjoe

problem gelöst grüße skyerjoe

@P.Foeckeler Morgen Danke für den Hinweis das wußte ich gar nicht, dass er verschlüsselt ... Hab aber das Problem gelöst ... grüße skyerjoe

@Zahni: Morgen Es wird vorerst auf eine Lösung hinauslaufen, dass man seine AD Login Daten verwenden kann. Aber im moment habe ich Probleme , dass das Plugin keinen vernünftigen request an den server schickt ... mit ldapsearch geht es einwandfrei ... aber irgendwie will es mit dem plugin nicht ganz klappen...deshalb versuch ich rauszufinden, was er für eine Anfrage an den AD-Server schickt.... grüße skyerjoe

@Daim Danke für den Tipp, aber irgendwie scheint er nichts zu loggen, bei ldap abfragen. Ich kann zwar den Capture Button einschalten, aber es wird kein ldap verkehr angezeigt. Woran kann das liegen? grüße skyerjoe

Tach Ich habe mal ne frage ich bräuchte eine Software die dan ausgehenden ldap traffic analysiert... wichtig, wäre wie zb. eine abfrage von der AD gehandhabt wird und wie auch der suchstring intepretiert wird ... kennt da jemand ein tool ? grüße skyerjoe

Also mit perfmon bin ich schon einen Schritt weiter, aber er sagt mir bloß das er das Objekt nicht finden kann.... Gibt es eine Möglichkeit, den ldap Request zu analysieren, sodass ich sehen kann, was er für parameter für die anfrage mitschickt ? oder geht das nur von der client seite ? grüße skyerjoe

so habs etz selber gefunden... aber ewig gebraucht... hätte niemand mir sagen können, das das auf der win seite mit perfmon geht? :( grüße skyerjoe

Ich schaffe das einfach ohne Hilfe nicht... Irgendwo muss ich ansetzen ich weiß weder, wo ich auf der AD Seite zB. sehen kann ob er sich mit der linux kiste verbindet, noch ob überhaupt ein request zustandekommt, oder aber das perl script nicht schon vorher fehlerhaft ist, und deshalb kein athentifizietrungsversuch mit dem ad zustandekommt .... kann mir da jemand helfen ? grüße skyerjoe

lso ich bin etz schon ein schritt weiter Bloß scheint er bei manchen Attributen, die ich ldap mitgebe nicht ganz mitzuspielen.... bei folgenden attributen startet der apache server nicht ... 'tls' => 0, ssl_version' => 3, 'net_ldap_args' => [ version => 3 ], 'group' => 'User', 'group' => 'GROUP_NAME', 'attr_match_list' => [ 'Name', # 'EmailAddress', ], # 'attr_map' => { 'Name' => 'sAMAccountName', #'EmailAddress' => 'mail', # 'Organization' => # 'Organization' => 'physicalDeliveryOfficeName', # 'RealName' => 'cn', # 'ExternalAuthId' => 'sAMAccountName', # 'Gecos' => 'sAMAccountName', # 'WorkPhone' => 'telephoneNumber', # 'Address1' => 'streetAddress', # 'City' => 'l', # 'State' => 'st', # 'Zip' => 'postalCode', # 'Country' => 'co' } } ); Vielleicht weiß jemand warum da nicht das perl script ausgeführt wird .... passt vielleicht dann doch was mit den Rechten oder Berechtigungen in der AD nicht .... grüße skyerjoe

Aber die gibts nur bis 2003 server oder??? Was mach ich, wenn ich xp als Client habe und die Funktionen, die die AdminPacks für die Active Directory bereitstellen auch nutzen will, kann ich für xp das adminpack2003 für einen windows2008 server nehmen ? oder geht .. das nicht ... Edit (Nachtrag): Der Grund ist, wie ham uns gesagt wir könnten Hyena ganz gut gebrauchen, ich muss aber gestehen, ich weiß nicht, wieviel Funktionen verlorengehen, wenn adminpak oder RSAT auf dem Client nicht installiert ist.. greetings skyerjoe

Morgen Gibt es eine Möglichkeit die RAST Tools für windowsserver2008 unter xp zum laufen zu kriegen ? greetings skyerjoe

So also... ich poste etz mal mein Log : Tue Apr 12 14:55:49 2011] [debug]: Reloading RT::User to work around a bug in RT-3.8.0 and RT-3.8.1 (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/html/Elements/DoAuth:14) [Tue Apr 12 14:55:49 2011] [debug]: Attempting to use external auth service: My_LDAP (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:64) [Tue Apr 12 14:55:49 2011] [debug]: SSO Failed and no user to test with. Nexting (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:92) [Tue Apr 12 14:55:49 2011] [debug]: Attempting to use external auth service: My_MySQL (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:64) [Tue Apr 12 14:55:49 2011] [debug]: SSO Failed and no user to test with. Nexting (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:92) [Tue Apr 12 14:55:49 2011] [debug]: Attempting to use external auth service: My_SSO_Cookie (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:64) [Tue Apr 12 14:55:49 2011] [debug]: SSO Failed and no user to test with. Nexting (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:92) [Tue Apr 12 14:55:49 2011] [debug]: Autohandler called ExternalAuth. Response: (0, No User) (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/html/Elements/DoAuth:26) [Tue Apr 12 14:55:53 2011] [debug]: Reloading RT::User to work around a bug in RT-3.8.0 and RT-3.8.1 (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/html/Elements/DoAuth:14) [Tue Apr 12 14:55:53 2011] [debug]: Attempting to use external auth service: My_LDAP (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:64) [Tue Apr 12 14:55:53 2011] [debug]: SSO Failed and no user to test with. Nexting (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:92) [Tue Apr 12 14:55:53 2011] [debug]: Attempting to use external auth service: My_MySQL (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:64) [Tue Apr 12 14:55:53 2011] [debug]: SSO Failed and no user to test with. Nexting (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:92) [Tue Apr 12 14:55:53 2011] [debug]: Attempting to use external auth service: My_SSO_Cookie (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:64) [Tue Apr 12 14:55:53 2011] [debug]: SSO Failed and no user to test with. Nexting (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:92) [Tue Apr 12 14:55:53 2011] [debug]: Autohandler called ExternalAuth. Response: (0, No User) (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/html/Elements/DoAuth:26) Vielleicht kann mir da jemand a weng helfen was die Interpretation angeht ... grüße skyerjoe

@zahni: Ja es gibt eine aber über diese Erweiterung selber, gibts nicht viele Infos .. ne kurze Readme .. und das wars ... Dachte Vielleicht das mir vielleicht jemand sagen kann, ob das so passt .. oder wenigstens ob mit diesem ldap abfrage die Berechtigungen ausreichen .. naja muss ich halt mal selber schauen vielleicht find ich noch was :) grüße skyerjoe

Okay vielleicht sollte ich das mal genauer beschreiben ... Mein Client: Ubuntu Server Anwendung: Request Tracker mit sso erweiterung Mein AD : windows 2008 server Was muss ich auf der AD seite genau für einstellungen vornehmen, damit eine rebungslose ldap abfrage seitens dem client gewährt werden kann? Ps: ich weiß dass das ein windows forum ist, aber könnte mal jemand über die configs in der erweiterung rüberschauen? wäre sehr nett.... [Perl] # AN EXAMPLE LDAP SERVICE Set($ExternalAuthPriority, - Pastebin.com grüße skyerjoe

oh okay .. dachte nicht, das da infos sind, mit denen man was anfangen kann .... password steht ja zb nicht drin welche wären das denn, wo man sagen kann " Das ist ein Sicherheitsrisiko" damit ich das in Zukunft weiß Ich seh schon wenn man davon nicht soviel ahnung hat, sollte man a weng vorsichtiger sein grüße skyerjoe

@zahni: morgen, jo da scheint sich was zu tun ..:) Hier mal der Auszug: [bash] ldap - Pastebin.com Heißt das jetzt, das ich Abfragen über den ldap port starten kann? Reichen die Berechtigungen für eine SSO Authentifizierung?Wie kann ich rausfinden, mit welchem Authentifizierungsverfahren im moment auf dem AD Server die user Authentifiziert werden? grüße skyerjoe

Also ich hab etz mal damit probiert eine Suche zu starten, aber ich denke meine Syntax is falsch wie gesagt ich kenn mich mit dem ldap zeug noch nicht so gut aus. sudo ldapsearch -h srv41.sbah.local -D "sbah.local\SBAOU\Benutzer\RT-USER" -w "password" -b "'dc=sbah, dc=local" -s sub "sAMAccountName=RT-USER" Wo is etz der Fehler von mir ? grüße skyerjoe