bitwicht

Hallo,

habe folgendes "Problem"

ADS 2003 mit DHCP Server und zb. 5 XP Clients

Clients ziehen sich vom DHCP Server eine IP

Wenn ich nun an dem 2003 DHCP Server Updates mache, bracuh der Server gut 7-20 Min bis er wieder online ist (hat sehr viele Dinste usw.)

In dieser Zeit verliehren die XP Clients die IP-Adressen - was schlecht ist da die MA der Nachtschicht dann "offline" sind (wenn die Adresse bestehen würde könnten Sie arbeiten)

Kann ich die Gültigkeit der Clients am Server oder am Client einstellen? oder müsste ich die Cleints auf Statische Adresse umstellen ?

Ein DHCP-Cluster ist keine Lösung da es einfach "zu heftig" für 5 Clients ist

lg

Bit

@IThome

danke werde ich testen.

für was gibt es denn dann diese

- anmelden über terinalserver zulassen - als domin/gruppe

- lokale anmeldung - als domin/gruppe

bezieht sich das nur auf server ?

lg

bit

@ithome

es sind ganz normale domainuser dass die leute sich local anmelden dürfen.

habe dann eine gruppe rdp-zugriff gemacht und die user eingefügt.

dann habe ich diese gruppe in folgende richtlinieren eingebunden

computerconfig - windowseinstellungen - sicherheitseinstellungen - locale richtlinen - zuweisen von benutzerrechnten:

- anmelden über terinalserver zulassen - als domin/gruppe

- lokale anmeldung - als domin/gruppe

- auf diesem computer vom netzwerk aus zugreifen - als domin/gruppe

das ist doch genau was du beschrieben hast - muss ich noch was machen ?

lg

bit

@MOMSY

die rechte reichen aber nicht weil es nicht geht.

bei ms steht an benötigt noch iese rechnte:

- anmelden über terinalserver zulassen

- lokale anmeldung

des weiteren kann es ja nicht sinn der sache sein das ich lokal ein häkchen setzen muss. hätte ich 200 rechner müsste ich zu jedem rechner - die einstellung muss ich auch über den pdc abfangen können

habe ich aber trozdem aktiviert und es geht auch nicht.

ich will das sich die user an den xp client anmelden dürfen

@momsy

nein ist auch nicht relevant.

die mitglieder der gruppe sollen sich an den 5 xp client anmelden dürfen.

die rechte will ich über eine gruppe am pdc vergeben.

@ momsy

habe ich hinzugefügt aber gleiche meldung:

Sie dürfen sich an dieser Sitzung nicht anmelden

und zusätzlich noch diese berechtigung:

- anmelden über terinalserver zulassen

- lokale anmeldung

- auf diesem computer vom netzwerk aus zugreifen

??

lg

bit

hallo,

habe eine win 2003 domain und 5 xp cleint

in der gibt es eine gruppe rdp-zugriff in der x,y,z mitglied sind

die mitglieder sollen sich an den xp client anmelden dürfen

habe diese gruppe bei hinzugefügt:

computerconfig - windowseinstellungen - sicherheitseinstellungen - locale richtlinen - zuweisen von benutzerrechnten:

- anmelden über terinalserver zulassen

- lokale anmeldung

- auf diesem computer vom netzwerk aus zugreifen

wenn sich jetz x oder y auf einem client anmelden will kommt immer:

Sie dürfen sich an dieser Sitzung nicht anmelden

lauf ms soll es reichen punkt 1 und 2 zu aktivieren dass sich ein nutzer per rdp anmelden darf ?!?

muss ich noch eine einzellung vornehmen?

lg

bit

@olc

ja liege mit fieber im bett aber bekommst du noch

@olc

mache ich dir selbstverständlich und bekommst du morgen.

die apache doku könnte hier etwas genauer drauf hinweisen wenn man es unbedingt setzen muss. ist leider ganz unten nur am rande erwähnt. sowas hätten sie auch gleich in das bsp tippen können. stolpern bestimmt 60% drüber.

lg

bit

@olc

sorry das mit deiner gruppenzugehörigkeitsfrage habe ich übersehen.

- ja es ist eine globlae sicherheits gruppe

-AuthLDAPGroupAttributeIsDN on hat nicht gebracht

- require ldap-group CN=nagios-web-acc hat nichts gebracht

- require ldap-group nagios-web-acc hat nichts gebracht

- ich habe zusätzlich nocht den schalter AuthzLDAPAuthoritative in jedem der oberen varianten auf on / off gestellt

- ich habe bei allen varianten noch ?sub?(objectClass=*) oder ?sub versucht.

leider alles ohne erfolg.

–

Hier die Lösung:

AuthName "Nagios Access"

AuthType Basic

AuthBasicProvider ldap

AuthzLDAPAuthoritative off

AuthLDAPURL "ldap://servernameoderip:3268/DC=domain,DC=local?sAMAccountName?sub?(objectClass=*)"

AuthLDAPBindDN "domainuser@domain.local"

AuthLDAPBindPassword domainuser-pass

AuthLDAPGroupAttribute member

AuthLDAPGroupAttributeIsDN on

Require ldap-group CN=gruppezuberechtigen,OU=pfad,DC=domain,DC=local

und vielen dank für eure mühe.

lg

bit

@olc

habe mal diesen ms network monitor installiert.

leider ist das ding total komplex und man kann da nicht wirklich schön etwas ablesen.

habe dann mal wie vor dir vorgeschlagen eine abfrage mit:

sAMAccountName?sub?(objectClass=*)

und

sAMAccountName?sub?

ich sehe das die anfrage beim dc ankommt und sAMAccountName=anmeldeuser in den trafficdetails.

hier noch ein auszug:

369 9.937500 lsass.exe {LDAP:53, TCP:51, IPv4:43} 192.168.x.x 192.168.x.x LDAP LDAP:Search Request, MessageID: 4, BaseObject: OU=test,DC=xxxxx,DC=local, SearchScope: WholeSubtree, SearchAlias: derefAlways

370 9.937500 lsass.exe {LDAP:53, TCP:51, IPv4:43} 192.168.x.x 192.168.x.x LDAP LDAP:search Result Done, MessageID: 4, Status: Success

was ich nicht sehe das er die gruppe abfrägt ?!?!

@olc

wie du schon gesagt hast kann man eigentlich nichts falsch machen.

habe das programm direkt auf den domaincontroller gezogen und entpackt.

in dem verzeichnis ist ja nur die ADInsight.exe

diese habe ich gestarte, als filter mal alles ausgewählt das alles angezeigt wird.

dann eine anfrage gemacht aber das programm bleibt leer

hast du noch ein tip für ne anleitung ?

@olc

habe eben mal dieses ADInSight entpackt und geöffnet

habe als filter alles aktiviert.

wenn ich jetzt von dem linuxrechner die htaccessanmeldung mache oder auch von einem anderen client via ldp.exe auf die ad zugreife sehe ich im ADInSight GARNICHTS ?!?!

ja die gruppe stimmt

CN=nagios-web-acc,OU=test,DC=xxxxx,DC=local

habe die mal rauskopiert und in den lpd.exe reingeschmissen.

diese spuckt die werte dann richtig aus.

sorry ich meinte mit anmeldescrip eben die htaccess

ich habe das mal aufgelesen:

das bekomme ich als antwort:

>> Dn: CN=nagios-web-acc,OU=test,DC=spox,DC=local

2> objectClass: top; group;

1> cn: nagios-web-acc;

3> member: CN=ldaxxxxxx,OU=test,DC=spox,DC=local; CN=Tixxx xxxxxxxxx,OU=Produktion,OU=Benutzer,OU=AdminUnit,DC=spox,DC=local;

netzwerktrace und ADInSight weiß ich noch nicht wie das geht.

muss ich mich mal reinlesen

aber kann ich nich irgendwo sehen zb. in den eventlogs und wenn wo? was vom linuxserver angefragt wird?

lg

bit

@olc

ja habe es schon mit dem lpd.exe getestet,.

1. anmeldung mit dem ldapuser

2. wenn ich dann hier ger gehe:

CN=nagios-web-acc,OU=test,DC=domain,DC=local

sehe ich im rechten fenster die member.

das meintest du doch damit oder wie meintest du es ?

ich verstehe nur nicht warum es mein anmeldescript nicht macht

@olc / phoenixcp

sorry für push - danke für die hilft.

ich habe nun mal den ldapuser, den testuser und die nagiosgruppe alles in eine OU geschmissen und deise config verwendet:

AuthName "Nagios Access"

AuthType Basic

AuthBasicProvider ldap

AuthzLDAPAuthoritative off

AuthLDAPURL ldap://server:389/OU=test,DC=domain,DC=local?sAMAccountName?sub?

AuthLDAPBindDN CN=ldapadmin,OU=test,DC=domain,DC=local

AuthLDAPBindPassword passsssss

require ldap-group CN=nagios-web-acc,OU=test,DC=domain,DC=local

der testuser in der ou kann sich anmelden wenn ich anstatt ldap-group ldap-user mache

wenn ich aber die gruppe einfüge geht nichts.

anscheinend versteht er nicht das er in der gruppe nachsehen soll wer mitglied der gruppe ist ?!?

hallo,

hat leider auch nichts gebracht ..

–

keiner mehr eine idee ?

–

hat keiner mehr eine idee ?

@phoenixcp

also ohne das @spx-fs

(den server)

geht leider auch nicht - gleicher fehler im apache log.

das gibts doch garnicht. laut anleitung usw. muss das passen. die werde des ldap pfads haeb cih aus dem ldp browser und auch geprüft das passt alles.

Hallo,

habe da ein problem bei der authentifizierung meiner htaccess gegen die ads ldap.

hatte schon einige beiträge u.a. auch diesen durchgelesen leider ohne erfolg:

https://www.mcseboard.de/windows-forum-ms-backoffice-31/htaccess-w2k3-143141.html

die config von faith schaut sauber aus und auch laut doku - so ist meine auch aber es geht nicht:

AuthName "ACC"

AuthType Basic

AuthBasicProvider ldap

AuthzLDAPAuthoritative on

AuthLDAPBindDN ldapadmin@spx-fs

AuthLDAPBindPassword passwordvom-ldapadminuser

AuthLDAPURL ldap://spx-fs/OU=IT,OU=Benutzer,OU=AdminUnit,DC=spox,DC=local?sAMAccountName?sub

require ldap-group CN=nagios-web-acc,OU=Nagios,OU=Security,OU=Gruppen,OU=AdminUnit,DC=spox

die gruppe welche in zulassen möchte ist:

CN=nagios-web-acc,OU=Nagios,OU=Security,OU=Gruppen,OU=AdminUnit,DC=spox

der benutzer ldapadmin ist in:

CN=ldapadmin,OU=IT,OU=Benutzer,OU=AdminUnit,DC=spox,DC=local

wenn ich mit dem ldp browser via benutzer ldapadmin auf die ads zugreife bekomme ich auch ergebnisse

hier ein auszug aus dem apache2.2 log:

[Mon Dec 08 16:40:28 2008] [error] [client 192.168.200.109] user test: authentication failure for "/nagios/": Password Mismatch

[Mon Dec 08 16:40:31 2008] [warn] [client 192.168.200.109] [1912] auth_ldap authenticate: user test authentication failed; URI /nagios/ [LDAP: ldap_simple_bind_s() failed][invalid credentials]

das passwort des user stimmt - andere user gehen auch nicht.

im apache habe ich folgende module aktiviert: authnz_ldap.load und ldap.load

einer ne idee ?

lg

bit

@NilsK

OK.

gruß

Bit

hallo,

danke.

mit diesem string bekomme ich die user gelistet:

(&(objectCategory=user)(memberOf=CN=testwiki2,OU=test,DC=spox,DC=local))

leider funktioniert die wiki anmeldung anhand von gruppen immer noch nicht was aber jetzt ein fehler vom wiki ist. muss nun die wiki config durchgehen.

danke so weit !

lg

bit

@ithome:

die gruppe heißt: testwiki

hier vom lda programm rauskopiert: CN=TestWiki2,OU=test,DC=xxxxx,DC=local

leider bekomme ich einfach nicht die mitglieder der guppe ausgespuckt.

@ nilsk

die links habe ich schon durch aber ohne ergebnis deshalb habe ich ja hier angerfragt.

lg

bit

hallo daim,

ich bracuhe aber den filter für das wiki login script.

habe deinen vorschlag wie folgt angepasst:

(&(objectCategory=user)(memberOf=CN=testwiki,CN=USER,DC=DOMAIN,DC=local))

leider ohne erfolg.

hast du ev noch eine idee?

lg

bit

Hallo,

habe ein Problem mit einer Ldap Abfrage. Ich mmöchte alle Mitglieder einer Gruppe gelistet bekommen. Aktuell teste ich im Programm LDA.

Habe schon verschiedene Strings versucht doch alle ohne erfolg.

zb: BaseDN: DC=DOMAIN,DC=local

Filter: (&(objectClass=user)(objectCategory=person)(memberOf=CN=test-gruppe))

hoffe mir kann einer weiterhelfen.

lg

bit