skyerjoe

Guten morgen,

Es klappt irgendwie immer noch nicht.

Aber.... da das hier ein windows forum ist, würde ich sagen, dass mir vielleicht jemand helfen kann, erstmal die Windows Seite abzudecken ....

Was ich denke das nötig ist:

1. Zertifikat muss im Zertifikatsspeicher sein ( wie kann ich eigentlich zertifikate explizit dahin verschieben)?

2. Es muß bei "eigene Zertifikate" in lokaler Computer installiert sein.

3. Es muss alle Berechtigungen haben.

4. Rechte von authentfizierten Benutzern setzen.

5. CA CERT muss in den "vertrauenswürdigen Stammzertifizierungsstellen sein.

Fällt jemanden auf der Windows seite sonst noch was ein?

Ps: wie kann ich die überschrift von dem thread ändern?

grüße skyerjoe

@blub denke nicht, dass es daran liegt

da, wenn ich mit open_ssl einen connect mache,

 openssl s_client -connect xxx.xxx.xxx.xxx:636

kommt folgende meldung zurück:

CONNECTED(00000003)
---
Certificate chain
0 s:/CN=xxx.xxx.local
  i:/CN=xxxx.xxxx.local
---
Server certificate
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END CERTIFICATE-----
subject=/CN=xxx.xxx.local
issuer=/CN=xxxx.xxxx.local
---
Acceptable client certificate CA names
/DC=local/DC=xxx/CN=xxxx-xxxx-CA
/CN=CAxxx
/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority - G2/OU=(c) 1998 VeriSign, Inc. - For authorized use only/OU=VeriSign Trust Network
/C=US/O=GTE Corporation/OU=GTE CyberTrust Solutions, Inc./CN=GTE CyberTrust Global Root
/C=DE/ST=none/L=none/O=SBA/CN=xxx.xxx.local
/OU=Copyright (c) 1997 Microsoft Corp./OU=Microsoft Corporation/CN=Microsoft Root Authority
/DC=com/DC=microsoft/CN=Microsoft Root Certificate Authority
/CN=NT AUTHORITY
---
SSL handshake has read 1754 bytes and written 459 bytes
---
New, TLSv1/SSLv3, Cipher is AES128-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
   Protocol  : TLSv1
   Cipher    : AES128-SHA
   Session-ID: 324i0ßi0ß234i0ß234i0ß234i0ß234230i0ß234E6235DF2B6863A365ABB04043
   Session-ID-ctx: 
   Master-Key: 000000000000000000000000000000000000000000000529CE6AA71521FCA6A6E5C73446B201651FD2F8
   Key-Arg   : None
   Start Time: 1305192634
   Timeout   : 300 (sec)
   Verify return code: 21 (unable to verify the first certificate)
---

also so wie ich des sehe, connected er, aber er kann das zertifikat nicht verifizieren.....

was könnte ich machen?

grüße skyerjoe

Habe etz mal ein ldapsearch versucht über ssl

der scheitert....

Befehl :

sudo ldapsearch -h xxx.xxx.local -p 636 -Z   -D "xxx\user" -w "password" -b " CN=Configuration,DC=xxx,DC=xxxx" -s sub "sAMAccountName=USER"

Es kommt dann folgende errormeldung:

ldap_start_tls: Can't contact LDAP server (-1)
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

ich frage mich was ich übersehe oder ob ich evtl. irgendwie in ubuntu das zertifikat installieren muss. Ich habe nur gefunden, dass die zertifikate in dem verzeichnissen in /etc/ssl liegen müssen

grüße skyerjoe

Bitte entschuldige meine deutlichen Worte - aber so geht das nicht. Wenn Du möchtest, daß wir Dir helfen, mußt Du ein wenig genauer werden.

Das ist vollkommen in ordnung ... denke das ist normal , wenn man relativ neu mit ner best. bereich befasst ... und bevor ich nie weiß, was ich fragen muss...

Also zu meinem überraschung geht es jetzt auf einmal ...

Bin nach dieser Anleitung vorgegangen:

Event ID 1220

Das mit der CA Stelle klappt dann auch ....

Ich kann jetzt eine verb. über ldp per ssl herstellen .....*freu

So jetzt würde ich gerne noch die Sache mit der händischen Installation lösen, dass das auch geht also zu folgenden Punkten.

Aha, und der Verwendungszweck heißt genau wie? "Mach LDAP über SSL mit ldp.exe" habe ich bisher nicht gefunden als Schalter zum Erzeugen eines Zertifikats...

Alles mit OID 1.3.6.1.5.5.7.3.1 ( Server Authentifizierung); und das pw ist nicht gesetzt, da ich bei einem externen dienst (webanwendung) nicht jedesmal ein pw mitgeben kann. und die cn ist auf den fqdn des AD servers gesetzt.

Makecert CA:

1. CA mit schlüssel und key erstellt

2. per mmc die CA eingtragen unter "lokaler computer" ; "vertrauenswürdige zertifizierungsstellen"

Makecert Clientzertifikat(versuch1) :

1. Clientzertifikat ohne schlüssel erstellt mit parameter localmachine in certificatsspeicher my übertragen ....

Makecert Clientzertifikat(versuch2):

1.Clientzertifikat mit schlüssel erstellt und per mmc "lokaler computer" in "eigenes zertifikate" installiert.

Makecert Clientzertifikat (versuch3):

1.Clientzertifikat mit Schlüssel erstellt, und per pvk2pfx konvertiert

2. CA Stelle installiert und importiert.

Bezug: Using Makecert to Create Certificates for Development | DigitallyCreated

Alle diese Versuche schlugen fehl

Wie gesagt mit der CA Stelle ( neuer schlüssel erstellt) geht alles ( also jedenfalls bis etz auf Serverseite)

Ps: Falls noch was fehlt bitte ich um Nachsicht ... ist das erstemal das ich mich an die Zertifikatsgeschichten wage ...

grüße skyerjoe

Beschreibe noch einmal ganz genau, wie Du vorgegangen bist./QUOTE]

 

1.Vorrangig ist das Ziel erstmal auf den ldap server zugreifen per ssl

 

geht ja nichtmal über ldp.exe

 

Die Zertifikate und der CA Root wurden mit Makecert erstellt, sollte also gehen, und auch entsprechend der Verwendungszweck ist angegeben.

Dann wurden sie einmal per mmc und einmal per makecert versucht zu installieren. Aber selbst wenn das klappt und die Zertifikate sich im Zertifikatsspeicher befinden, klappt eine Verb. per ssl nicht.

 

Lt. dem MS Dokument sollte es dann irgendwann klappen.

 

Ich überlege grad .. gibt es evtl ne Richtlinie die per default an ist, die da nen strich durch die Rechnung macht.?

 

 

grüße skyerjoe

Vergiß das ohne CA. Das wird nicht sinnvoll funktionieren.

Eine eigene CA Root hab ich schon erstellt ( per makecert)

ist auch schon in den lokalen zertifikaten vertrauenstellungen bei ca drinnen

aber... irgendwie klappt die verb. pder ssl mit ldp einfach nicht ....

grüße skyerjoe

Das zertifikat selber ist nicht das problem,

ich hab schwierigkeiten, dass ich ldap über ssl zum laufen kriege ...

grüße skyerjoe

Morgen

Kann ich bei windows 2008 ein zertifikat auch händisch ohne zertifikatsstelle erstellen ?

so nach diesem muster vielleicht? : How to enable LDAP over SSL with a third-party certification authority

oder geht das nur noch mit der zertifikatsstelle?

beste grüße skyerjoe

problem gelöst

grüße skyerjoe

@P.Foeckeler

Morgen

Danke für den Hinweis das wußte ich gar nicht, dass er verschlüsselt ...

Hab aber das Problem gelöst ...

grüße skyerjoe

@Zahni:

In Deinem anderen Thread zu dem Thema, habe ich Dir doch schon geschrieben, dass Du über LDAP kein SSO realisieren kannst. Hier wurden Dir auch schon div. Hinweise gegeben:

Morgen

Es wird vorerst auf eine Lösung hinauslaufen, dass man seine AD Login Daten verwenden kann. Aber im moment habe ich Probleme , dass das Plugin keinen vernünftigen request an den server schickt ... mit ldapsearch geht es einwandfrei ... aber irgendwie will es mit dem plugin nicht ganz klappen...deshalb versuch ich rauszufinden, was er für eine Anfrage an den AD-Server schickt....

grüße skyerjoe

@Daim

Danke für den Tipp, aber irgendwie scheint er nichts zu loggen, bei ldap abfragen. Ich kann zwar den Capture Button einschalten, aber es wird kein ldap verkehr angezeigt.

Woran kann das liegen?

grüße skyerjoe

Tach

Ich habe mal ne frage ich bräuchte eine Software die dan ausgehenden ldap traffic analysiert... wichtig, wäre wie zb. eine abfrage von der AD gehandhabt wird und wie auch der suchstring intepretiert wird ...

kennt da jemand ein tool ?

grüße skyerjoe

Also mit perfmon bin ich schon einen Schritt weiter, aber er sagt mir bloß das er das Objekt nicht finden kann....

Gibt es eine Möglichkeit, den ldap Request zu analysieren, sodass ich sehen kann, was er für parameter für die anfrage mitschickt ? oder geht das nur von der client seite ?

grüße skyerjoe

so habs etz selber gefunden... aber ewig gebraucht... hätte niemand mir sagen können, das das auf der win seite mit perfmon geht? :(

grüße skyerjoe

Ich schaffe das einfach ohne Hilfe nicht...

Irgendwo muss ich ansetzen ich weiß weder, wo ich auf der AD Seite zB. sehen kann ob er sich mit der linux kiste verbindet, noch ob überhaupt ein request zustandekommt, oder aber das perl script nicht schon vorher fehlerhaft ist, und deshalb kein athentifizietrungsversuch mit dem ad zustandekommt ....

kann mir da jemand helfen ?

grüße skyerjoe

lso ich bin etz schon ein schritt weiter

Bloß scheint er bei manchen Attributen, die ich ldap mitgebe nicht ganz mitzuspielen....

bei folgenden attributen startet der apache server nicht ...

'tls'    =>  0,
ssl_version'  =>  3,
'net_ldap_args' => [    version =>  3   ],
'group'  =>  'User',
'group'  =>  'GROUP_NAME',
'attr_match_list'           => [    'Name',
                                         #   'EmailAddress',   ],
# 'attr_map'                                                                =>  {   'Name' => 'sAMAccountName',
                                                                                          #'EmailAddress' => 'mail',
                                         # 'Organization' => # 'Organization' => 'physicalDeliveryOfficeName',
                                                                                          # 'RealName' => 'cn',
                                                                                    # 'ExternalAuthId' => 'sAMAccountName',
                                                                                          # 'Gecos' => 'sAMAccountName',
                                                                                          # 'WorkPhone' => 'telephoneNumber',
                                                                                          # 'Address1' => 'streetAddress',
                                                                                          # 'City' => 'l',
                                                                                          # 'State' => 'st',
                                                                                          # 'Zip' => 'postalCode',
                                                                                          # 'Country' => 'co'
                                                                                       }
                                                   }


);

Vielleicht weiß jemand warum da nicht das perl script ausgeführt wird ....

passt vielleicht dann doch was mit den Rechten oder Berechtigungen in der AD nicht ....

grüße skyerjoe

Aber die gibts nur bis 2003 server oder???

Was mach ich, wenn ich xp als Client habe und die Funktionen, die die AdminPacks für die Active Directory bereitstellen auch nutzen will,

kann ich für xp das adminpack2003 für einen windows2008 server nehmen ? oder geht .. das nicht ...

Edit (Nachtrag):

Der Grund ist, wie ham uns gesagt wir könnten Hyena ganz gut gebrauchen, ich muss aber gestehen, ich weiß nicht, wieviel Funktionen verlorengehen, wenn adminpak oder RSAT auf dem Client nicht installiert ist..

greetings skyerjoe

Morgen

Gibt es eine Möglichkeit die RAST Tools für windowsserver2008 unter xp zum laufen zu kriegen ?

greetings skyerjoe

So also... ich poste etz mal mein Log :

Tue Apr 12 14:55:49 2011] [debug]: Reloading RT::User to work around a bug in RT-3.8.0 and RT-3.8.1 (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/html/Elements/DoAuth:14)
[Tue Apr 12 14:55:49 2011] [debug]: Attempting to use external auth service: My_LDAP (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:64)
[Tue Apr 12 14:55:49 2011] [debug]: SSO Failed and no user to test with. Nexting (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:92)
[Tue Apr 12 14:55:49 2011] [debug]: Attempting to use external auth service: My_MySQL (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:64)
[Tue Apr 12 14:55:49 2011] [debug]: SSO Failed and no user to test with. Nexting (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:92)
[Tue Apr 12 14:55:49 2011] [debug]: Attempting to use external auth service: My_SSO_Cookie (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:64)
[Tue Apr 12 14:55:49 2011] [debug]: SSO Failed and no user to test with. Nexting (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:92)
[Tue Apr 12 14:55:49 2011] [debug]: Autohandler called ExternalAuth. Response: (0, No User) (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/html/Elements/DoAuth:26)
[Tue Apr 12 14:55:53 2011] [debug]: Reloading RT::User to work around a bug in RT-3.8.0 and RT-3.8.1 (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/html/Elements/DoAuth:14)
[Tue Apr 12 14:55:53 2011] [debug]: Attempting to use external auth service: My_LDAP (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:64)
[Tue Apr 12 14:55:53 2011] [debug]: SSO Failed and no user to test with. Nexting (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:92)
[Tue Apr 12 14:55:53 2011] [debug]: Attempting to use external auth service: My_MySQL (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:64)
[Tue Apr 12 14:55:53 2011] [debug]: SSO Failed and no user to test with. Nexting (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:92)
[Tue Apr 12 14:55:53 2011] [debug]: Attempting to use external auth service: My_SSO_Cookie (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:64)
[Tue Apr 12 14:55:53 2011] [debug]: SSO Failed and no user to test with. Nexting (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:92)
[Tue Apr 12 14:55:53 2011] [debug]: Autohandler called ExternalAuth. Response: (0, No User) (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/html/Elements/DoAuth:26)

Vielleicht kann mir da jemand a weng helfen was die Interpretation angeht ...

grüße skyerjoe

@zahni:

Da gibt es doch sicher eine Doku für das Produkt, gelle ?

Ja es gibt eine aber über diese Erweiterung selber, gibts nicht viele Infos .. ne kurze Readme .. und das wars ...

Dachte Vielleicht das mir vielleicht jemand sagen kann, ob das so passt .. oder wenigstens ob mit diesem ldap abfrage die Berechtigungen ausreichen .. naja muss ich halt mal selber schauen vielleicht find ich noch was :)

grüße skyerjoe

Okay vielleicht sollte ich das mal genauer beschreiben ...

Mein Client: Ubuntu Server

Anwendung: Request Tracker mit sso erweiterung

Mein AD : windows 2008 server

Was muss ich auf der AD seite genau für einstellungen vornehmen, damit eine rebungslose ldap abfrage seitens dem client gewährt werden kann?

Ps: ich weiß dass das ein windows forum ist, aber könnte mal jemand über die configs in der erweiterung rüberschauen? wäre sehr nett....

[Perl] # AN EXAMPLE LDAP SERVICE Set($ExternalAuthPriority, - Pastebin.com

grüße skyerjoe

Du solltest die sicherheitsrelevanten Informationen besser von dem Server da löschen. Dieses Forum wird von Google indiziert und sicher auch Pastebin

oh okay .. dachte nicht, das da infos sind, mit denen man was anfangen kann .... password steht ja zb nicht drin

welche wären das denn, wo man sagen kann " Das ist ein Sicherheitsrisiko" damit ich das in Zukunft weiß

Ich seh schon wenn man davon nicht soviel ahnung hat, sollte man a weng vorsichtiger sein

grüße skyerjoe

@zahni:

morgen, jo da scheint sich was zu tun ..:)

Hier mal der Auszug: [bash] ldap - Pastebin.com

Heißt das jetzt, das ich Abfragen über den ldap port starten kann? Reichen die Berechtigungen für eine SSO Authentifizierung?Wie kann ich rausfinden, mit welchem Authentifizierungsverfahren im moment auf dem AD Server die user Authentifiziert werden?

grüße skyerjoe

Also ich hab etz mal damit probiert eine Suche zu starten, aber ich denke meine Syntax is falsch wie gesagt ich kenn mich mit dem ldap zeug noch nicht so gut aus.

sudo ldapsearch -h srv41.sbah.local  -D "sbah.local\SBAOU\Benutzer\RT-USER" -w "password" -b "'dc=sbah, dc=local" -s sub "sAMAccountName=RT-USER"

Wo is etz der Fehler von mir ?

grüße skyerjoe