bitwicht
-
Gesamte Inhalte
166 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von bitwicht
-
-
@IThome
danke werde ich testen.
für was gibt es denn dann diese
- anmelden über terinalserver zulassen - als domin/gruppe
- lokale anmeldung - als domin/gruppe
bezieht sich das nur auf server ?
lg
bit
-
@ithome
es sind ganz normale domainuser dass die leute sich local anmelden dürfen.
habe dann eine gruppe rdp-zugriff gemacht und die user eingefügt.
dann habe ich diese gruppe in folgende richtlinieren eingebunden
computerconfig - windowseinstellungen - sicherheitseinstellungen - locale richtlinen - zuweisen von benutzerrechnten:
- anmelden über terinalserver zulassen - als domin/gruppe
- lokale anmeldung - als domin/gruppe
- auf diesem computer vom netzwerk aus zugreifen - als domin/gruppe
das ist doch genau was du beschrieben hast - muss ich noch was machen ?
lg
bit
-
@MOMSY
die rechte reichen aber nicht weil es nicht geht.
bei ms steht an benötigt noch iese rechnte:
- anmelden über terinalserver zulassen
- lokale anmeldung
des weiteren kann es ja nicht sinn der sache sein das ich lokal ein häkchen setzen muss. hätte ich 200 rechner müsste ich zu jedem rechner - die einstellung muss ich auch über den pdc abfangen können
habe ich aber trozdem aktiviert und es geht auch nicht.
-
ich will das sich die user an den xp client anmelden dürfen
-
@momsy
nein ist auch nicht relevant.
die mitglieder der gruppe sollen sich an den 5 xp client anmelden dürfen.
die rechte will ich über eine gruppe am pdc vergeben.
-
@ momsy
habe ich hinzugefügt aber gleiche meldung:
Sie dürfen sich an dieser Sitzung nicht anmelden
und zusätzlich noch diese berechtigung:
- anmelden über terinalserver zulassen
- lokale anmeldung
- auf diesem computer vom netzwerk aus zugreifen
??
lg
bit
-
hallo,
habe eine win 2003 domain und 5 xp cleint
in der gibt es eine gruppe rdp-zugriff in der x,y,z mitglied sind
die mitglieder sollen sich an den xp client anmelden dürfen
habe diese gruppe bei hinzugefügt:
computerconfig - windowseinstellungen - sicherheitseinstellungen - locale richtlinen - zuweisen von benutzerrechnten:
- anmelden über terinalserver zulassen
- lokale anmeldung
- auf diesem computer vom netzwerk aus zugreifen
wenn sich jetz x oder y auf einem client anmelden will kommt immer:
Sie dürfen sich an dieser Sitzung nicht anmelden
lauf ms soll es reichen punkt 1 und 2 zu aktivieren dass sich ein nutzer per rdp anmelden darf ?!?
muss ich noch eine einzellung vornehmen?
lg
bit
-
@olc
ja liege mit fieber im bett aber bekommst du noch
-
@olc
mache ich dir selbstverständlich und bekommst du morgen.
die apache doku könnte hier etwas genauer drauf hinweisen wenn man es unbedingt setzen muss. ist leider ganz unten nur am rande erwähnt. sowas hätten sie auch gleich in das bsp tippen können. stolpern bestimmt 60% drüber.
lg
bit
-
@olc
sorry das mit deiner gruppenzugehörigkeitsfrage habe ich übersehen.
- ja es ist eine globlae sicherheits gruppe
-AuthLDAPGroupAttributeIsDN on hat nicht gebracht
- require ldap-group CN=nagios-web-acc hat nichts gebracht
- require ldap-group nagios-web-acc hat nichts gebracht
- ich habe zusätzlich nocht den schalter AuthzLDAPAuthoritative in jedem der oberen varianten auf on / off gestellt
- ich habe bei allen varianten noch ?sub?(objectClass=*) oder ?sub versucht.
leider alles ohne erfolg.
–
Hier die Lösung:
AuthName "Nagios Access"
AuthType Basic
AuthBasicProvider ldap
AuthzLDAPAuthoritative off
AuthLDAPURL "ldap://servernameoderip:3268/DC=domain,DC=local?sAMAccountName?sub?(objectClass=*)"
AuthLDAPBindDN "domainuser@domain.local"
AuthLDAPBindPassword domainuser-pass
AuthLDAPGroupAttribute member
AuthLDAPGroupAttributeIsDN on
Require ldap-group CN=gruppezuberechtigen,OU=pfad,DC=domain,DC=local
und vielen dank für eure mühe.
lg
bit
-
@olc
habe mal diesen ms network monitor installiert.
leider ist das ding total komplex und man kann da nicht wirklich schön etwas ablesen.
habe dann mal wie vor dir vorgeschlagen eine abfrage mit:
sAMAccountName?sub?(objectClass=*)
und
sAMAccountName?sub?
ich sehe das die anfrage beim dc ankommt und sAMAccountName=anmeldeuser in den trafficdetails.
hier noch ein auszug:
369 9.937500 lsass.exe {LDAP:53, TCP:51, IPv4:43} 192.168.x.x 192.168.x.x LDAP LDAP:Search Request, MessageID: 4, BaseObject: OU=test,DC=xxxxx,DC=local, SearchScope: WholeSubtree, SearchAlias: derefAlways
370 9.937500 lsass.exe {LDAP:53, TCP:51, IPv4:43} 192.168.x.x 192.168.x.x LDAP LDAP:search Result Done, MessageID: 4, Status: Success
was ich nicht sehe das er die gruppe abfrägt ?!?!
-
@olc
wie du schon gesagt hast kann man eigentlich nichts falsch machen.
habe das programm direkt auf den domaincontroller gezogen und entpackt.
in dem verzeichnis ist ja nur die ADInsight.exe
diese habe ich gestarte, als filter mal alles ausgewählt das alles angezeigt wird.
dann eine anfrage gemacht aber das programm bleibt leer
hast du noch ein tip für ne anleitung ?
-
@olc
habe eben mal dieses ADInSight entpackt und geöffnet
habe als filter alles aktiviert.
wenn ich jetzt von dem linuxrechner die htaccessanmeldung mache oder auch von einem anderen client via ldp.exe auf die ad zugreife sehe ich im ADInSight GARNICHTS ?!?!
ja die gruppe stimmt
CN=nagios-web-acc,OU=test,DC=xxxxx,DC=local
habe die mal rauskopiert und in den lpd.exe reingeschmissen.
diese spuckt die werte dann richtig aus.
-
sorry ich meinte mit anmeldescrip eben die htaccess
ich habe das mal aufgelesen:
das bekomme ich als antwort:
>> Dn: CN=nagios-web-acc,OU=test,DC=spox,DC=local
2> objectClass: top; group;
1> cn: nagios-web-acc;
3> member: CN=ldaxxxxxx,OU=test,DC=spox,DC=local; CN=Tixxx xxxxxxxxx,OU=Produktion,OU=Benutzer,OU=AdminUnit,DC=spox,DC=local;
netzwerktrace und ADInSight weiß ich noch nicht wie das geht.
muss ich mich mal reinlesen
aber kann ich nich irgendwo sehen zb. in den eventlogs und wenn wo? was vom linuxserver angefragt wird?
lg
bit
-
@olc
ja habe es schon mit dem lpd.exe getestet,.
1. anmeldung mit dem ldapuser
2. wenn ich dann hier ger gehe:
CN=nagios-web-acc,OU=test,DC=domain,DC=local
sehe ich im rechten fenster die member.
das meintest du doch damit oder wie meintest du es ?
ich verstehe nur nicht warum es mein anmeldescript nicht macht
-
@olc / phoenixcp
sorry für push - danke für die hilft.
ich habe nun mal den ldapuser, den testuser und die nagiosgruppe alles in eine OU geschmissen und deise config verwendet:
AuthName "Nagios Access"
AuthType Basic
AuthBasicProvider ldap
AuthzLDAPAuthoritative off
AuthLDAPURL ldap://server:389/OU=test,DC=domain,DC=local?sAMAccountName?sub?
AuthLDAPBindDN CN=ldapadmin,OU=test,DC=domain,DC=local
AuthLDAPBindPassword passsssss
require ldap-group CN=nagios-web-acc,OU=test,DC=domain,DC=local
der testuser in der ou kann sich anmelden wenn ich anstatt ldap-group ldap-user mache
wenn ich aber die gruppe einfüge geht nichts.
anscheinend versteht er nicht das er in der gruppe nachsehen soll wer mitglied der gruppe ist ?!?
-
hallo,
hat leider auch nichts gebracht ..
–
keiner mehr eine idee ?
–
hat keiner mehr eine idee ?
-
@phoenixcp
also ohne das @spx-fs
(den server)
geht leider auch nicht - gleicher fehler im apache log.
das gibts doch garnicht. laut anleitung usw. muss das passen. die werde des ldap pfads haeb cih aus dem ldp browser und auch geprüft das passt alles.
-
Hallo,
habe da ein problem bei der authentifizierung meiner htaccess gegen die ads ldap.
hatte schon einige beiträge u.a. auch diesen durchgelesen leider ohne erfolg:
https://www.mcseboard.de/windows-forum-ms-backoffice-31/htaccess-w2k3-143141.html
die config von faith schaut sauber aus und auch laut doku - so ist meine auch aber es geht nicht:
AuthName "ACC"
AuthType Basic
AuthBasicProvider ldap
AuthzLDAPAuthoritative on
AuthLDAPBindDN ldapadmin@spx-fs
AuthLDAPBindPassword passwordvom-ldapadminuser
AuthLDAPURL ldap://spx-fs/OU=IT,OU=Benutzer,OU=AdminUnit,DC=spox,DC=local?sAMAccountName?sub
require ldap-group CN=nagios-web-acc,OU=Nagios,OU=Security,OU=Gruppen,OU=AdminUnit,DC=spox
die gruppe welche in zulassen möchte ist:
CN=nagios-web-acc,OU=Nagios,OU=Security,OU=Gruppen,OU=AdminUnit,DC=spox
der benutzer ldapadmin ist in:
CN=ldapadmin,OU=IT,OU=Benutzer,OU=AdminUnit,DC=spox,DC=local
wenn ich mit dem ldp browser via benutzer ldapadmin auf die ads zugreife bekomme ich auch ergebnisse
hier ein auszug aus dem apache2.2 log:
[Mon Dec 08 16:40:28 2008] [error] [client 192.168.200.109] user test: authentication failure for "/nagios/": Password Mismatch
[Mon Dec 08 16:40:31 2008] [warn] [client 192.168.200.109] [1912] auth_ldap authenticate: user test authentication failed; URI /nagios/ [LDAP: ldap_simple_bind_s() failed][invalid credentials]
das passwort des user stimmt - andere user gehen auch nicht.
im apache habe ich folgende module aktiviert: authnz_ldap.load und ldap.load
einer ne idee ?
lg
bit
-
@NilsK
OK.
gruß
Bit
-
hallo,
danke.
mit diesem string bekomme ich die user gelistet:
(&(objectCategory=user)(memberOf=CN=testwiki2,OU=test,DC=spox,DC=local))
leider funktioniert die wiki anmeldung anhand von gruppen immer noch nicht was aber jetzt ein fehler vom wiki ist. muss nun die wiki config durchgehen.
danke so weit !
lg
bit
-
@ithome:
die gruppe heißt: testwiki
hier vom lda programm rauskopiert: CN=TestWiki2,OU=test,DC=xxxxx,DC=local
leider bekomme ich einfach nicht die mitglieder der guppe ausgespuckt.
@ nilsk
die links habe ich schon durch aber ohne ergebnis deshalb habe ich ja hier angerfragt.
lg
bit
-
hallo daim,
ich bracuhe aber den filter für das wiki login script.
habe deinen vorschlag wie folgt angepasst:
(&(objectCategory=user)(memberOf=CN=testwiki,CN=USER,DC=DOMAIN,DC=local))
leider ohne erfolg.
hast du ev noch eine idee?
lg
bit
-
Hallo,
habe ein Problem mit einer Ldap Abfrage. Ich mmöchte alle Mitglieder einer Gruppe gelistet bekommen. Aktuell teste ich im Programm LDA.
Habe schon verschiedene Strings versucht doch alle ohne erfolg.
zb: BaseDN: DC=DOMAIN,DC=local
Filter: (&(objectClass=user)(objectCategory=person)(memberOf=CN=test-gruppe))
hoffe mir kann einer weiterhelfen.
lg
bit
Gültigkeit DHCP an Clients
in Windows Server Forum
Geschrieben
Hallo,
habe folgendes "Problem"
ADS 2003 mit DHCP Server und zb. 5 XP Clients
Clients ziehen sich vom DHCP Server eine IP
Wenn ich nun an dem 2003 DHCP Server Updates mache, bracuh der Server gut 7-20 Min bis er wieder online ist (hat sehr viele Dinste usw.)
In dieser Zeit verliehren die XP Clients die IP-Adressen - was schlecht ist da die MA der Nachtschicht dann "offline" sind (wenn die Adresse bestehen würde könnten Sie arbeiten)
Kann ich die Gültigkeit der Clients am Server oder am Client einstellen? oder müsste ich die Cleints auf Statische Adresse umstellen ?
Ein DHCP-Cluster ist keine Lösung da es einfach "zu heftig" für 5 Clients ist
lg
Bit