Jump to content

htaccess ldap ads windows


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

habe da ein problem bei der authentifizierung meiner htaccess gegen die ads ldap.

 

hatte schon einige beiträge u.a. auch diesen durchgelesen leider ohne erfolg:

https://www.mcseboard.de/windows-forum-ms-backoffice-31/htaccess-w2k3-143141.html

 

die config von faith schaut sauber aus und auch laut doku - so ist meine auch aber es geht nicht:

 

 

AuthName "ACC"

AuthType Basic

AuthBasicProvider ldap

AuthzLDAPAuthoritative on

AuthLDAPBindDN ldapadmin@spx-fs

AuthLDAPBindPassword passwordvom-ldapadminuser

AuthLDAPURL ldap://spx-fs/OU=IT,OU=Benutzer,OU=AdminUnit,DC=spox,DC=local?sAMAccountName?sub

require ldap-group CN=nagios-web-acc,OU=Nagios,OU=Security,OU=Gruppen,OU=AdminUnit,DC=spox

 

 

 

die gruppe welche in zulassen möchte ist:

CN=nagios-web-acc,OU=Nagios,OU=Security,OU=Gruppen,OU=AdminUnit,DC=spox

 

 

der benutzer ldapadmin ist in:

CN=ldapadmin,OU=IT,OU=Benutzer,OU=AdminUnit,DC=spox,DC=local

 

 

wenn ich mit dem ldp browser via benutzer ldapadmin auf die ads zugreife bekomme ich auch ergebnisse

 

 

 

hier ein auszug aus dem apache2.2 log:

[Mon Dec 08 16:40:28 2008] [error] [client 192.168.200.109] user test: authentication failure for "/nagios/": Password Mismatch

[Mon Dec 08 16:40:31 2008] [warn] [client 192.168.200.109] [1912] auth_ldap authenticate: user test authentication failed; URI /nagios/ [LDAP: ldap_simple_bind_s() failed][invalid credentials]

 

 

das passwort des user stimmt - andere user gehen auch nicht.

 

im apache habe ich folgende module aktiviert: authnz_ldap.load und ldap.load

 

 

 

einer ne idee ?

 

lg

bit

Link zu diesem Kommentar

Hallo Bitwicht

 

Sorry, das es dich jetzt erwischt, aber ich bin mittlerweile soweit, das ich nicht mehr die PN's mit Nachfragen zu leider ungeklärten Threads beantworte, sondern direkt im entsprechenden Thread antworte:

 

NEIN, ich habe leider keine weitere Idee zu deinem Problem. Wenn ich diese hätte, dann hätte ich sie hier in deinem Thread kundgetan, ohne das ich mal wieder (wie schon sehr oft), eine weiter nachfragende PN dazu bekomme.

 

Und NEIN, es hilft auch nicht den Thread per Edit oder sonstwas zu pushen. Wir haben eine sehr große Anzahl von Mitgliedern hier in diesem Forum. Niemand kann es beeinflussen wieviele davon deine Frage lesen, wieviele darauf antworten und wieviele Anworten du verwerten kannst.

 

Ich kenne nichtmal das Produkt welches du dort im Einsatz hast und habe nur durch meine bisherigen Erfahrungen geleitet einen "Schuss ins Blaue" gemacht. Schade das er dich nicht weitergebracht hat, aber daran ändern weder PN's noch pushen etwas.

 

Off-Topic:

So, nochmal: es tut mir leid das es gerade dich erwischt hat, aber damit war das schon gut gefüllte Fass endgültig voll. Ich bin es leid, die PNs entsprechend zu beantworten und musste mir an dieser Stelle einfach mal offen Lust verschaffen. Das soll dabei keinerlei Kritik an dir als Person, deinen Fähigkeiten oder Kenntnissen oder deinem Problem darstellen, sondern ist lediglich der Ausbruch eines angestauten Frustes über diverse Member, die den Sinn und Unsinn eines Forums wie dieses nicht erfasst haben oder erfassen können.

 

Trotz allem einen freundlichen Gruß und noch einen schönen Abend

 

wünscht

der Carsten

Link zu diesem Kommentar

Hi,

 

was ich noch merkwürdig finde, ist das folgende:

AuthLDAPBindDN ldapadmin@spx-fs

require ldap-group CN=nagios-web-acc,OU=Nagios,OU=Security,OU=Gruppen,OU=AdminUnit,DC=spox

 

Sag mal - läuft in der Umgebung eine Single Label DNS Domain "SPOX" oder warum fehlt am Ende eine TLD? Außerdem ist sie in beiden Angaben unterschiedlich: 1x "spx-fs" und 1x "spox".

 

Weiter unten schreibst Du dann von "DC=spox,DC=local" - kann es sein, daß diese Angaben schlichtweg beim AuthLDAPBindDN UPN und der Gruppenangabe fehlen oder ist es nur beim Übertragen ins Forum "verloren gegangen"? Falls auch im Original nicht vorhanden, ergänze das "local" einmal und verwende den korrekten UPN.

 

Ansonsten ACK mit Carsten - heftiges "pushen" ist unhöflich. ;)

 

Viele Grüße

olc

Link zu diesem Kommentar
Sag mal - läuft in der Umgebung eine Single Label DNS Domain "SPOX" oder warum fehlt am Ende eine TLD? Außerdem ist sie in beiden Angaben unterschiedlich: 1x "spx-fs" und 1x "spox".

 

Weiter unten schreibst Du dann von "DC=spox,DC=local" - kann es sein, daß diese Angaben schlichtweg beim AuthLDAPBindDN UPN und der Gruppenangabe fehlen oder ist es nur beim Übertragen ins Forum "verloren gegangen"? Falls auch im Original nicht vorhanden, ergänze das "local" einmal und verwende den korrekten UPN.

 

ja hab ich denn den ganzen Tag Tomaten auf den Augen? Man sieht den Wald vor lauter (LDAP-)Bäumen nicht mehr... Er wird doch nicht etwa.... zu wildes CPM betrieben haben? ;)

Link zu diesem Kommentar

@olc / phoenixcp

sorry für push - danke für die hilft.

 

ich habe nun mal den ldapuser, den testuser und die nagiosgruppe alles in eine OU geschmissen und deise config verwendet:

 

AuthName "Nagios Access"

AuthType Basic

AuthBasicProvider ldap

AuthzLDAPAuthoritative off

AuthLDAPURL ldap://server:389/OU=test,DC=domain,DC=local?sAMAccountName?sub?

AuthLDAPBindDN CN=ldapadmin,OU=test,DC=domain,DC=local

AuthLDAPBindPassword passsssss

require ldap-group CN=nagios-web-acc,OU=test,DC=domain,DC=local

 

der testuser in der ou kann sich anmelden wenn ich anstatt ldap-group ldap-user mache

 

wenn ich aber die gruppe einfüge geht nichts.

 

anscheinend versteht er nicht das er in der gruppe nachsehen soll wer mitglied der gruppe ist ?!?

Link zu diesem Kommentar

Hi,

 

mit der richtigen Syntax sieht alles schon ganz anders aus. ;)

 

Die Gruppenmitgliedschaften sollten schon ausgelesen werden können - ist ja Sinn der Sache. Wenn Du Dich mittels LDP.exe und dem "AuthLDAPBindDN" Benutzer auf dem Server anmeldest, kannst Du dann die "member" (Attribut) auslesen?

 

Ggf. einmal in einen Netzwerktrace schauen - ist ja ein Simple Bind, das sollte Klartext sein.

 

Viele Grüße

olc

Link zu diesem Kommentar

Hi,

 

ja - so meinte ich es. Schau am besten einmal in einen Netzwerktrace, was genau auf dem Netz passiert. Oder schau auf dem Domänencontroller mittels ADInSight, was dort genau abgefragt wird.

 

Die Gruppe ist eine "Security Group" im AD und keine "Distribution Group", korrekt?

 

Die AuthzLDAPAuthoritative Option kannst Du meines Erachtens übrigens wieder aktivieren.

 

Was genau meinst Du mit "Anmeldescript"? Du sagtest, es handelt sich um eine ".htaccess" Datei / Authentifizierung. Inwiefern spielt hier ein Anmeldescript eine Rolle?

 

Viele Grüße

olc

Link zu diesem Kommentar

sorry ich meinte mit anmeldescrip eben die htaccess

 

ich habe das mal aufgelesen:

das bekomme ich als antwort:

 

>> Dn: CN=nagios-web-acc,OU=test,DC=spox,DC=local

2> objectClass: top; group;

1> cn: nagios-web-acc;

3> member: CN=ldaxxxxxx,OU=test,DC=spox,DC=local; CN=Tixxx xxxxxxxxx,OU=Produktion,OU=Benutzer,OU=AdminUnit,DC=spox,DC=local;

 

 

netzwerktrace und ADInSight weiß ich noch nicht wie das geht.

muss ich mich mal reinlesen

 

aber kann ich nich irgendwo sehen zb. in den eventlogs und wenn wo? was vom linuxserver angefragt wird?

 

lg

bit

Link zu diesem Kommentar

Hi,

 

Du schneidest einen Netzwerktrace direkt am DC, da Du diesen ja in der ".htaccess" Datei "fest verdrahtet" hast ist das kein Problem. ADInSight läßt Du ebenfalls auf diesem DC laufen. Ist zumindest von der Bedienung recht selbsterklärend.

 

Testweise paß auch einmal den LDAP String an: AuthLDAPURL ldap://server:389/OU=test,DC=domain,DC=local?sAMAccountName?sub? --> ich würde daraus testweise einmal AuthLDAPURL ldap://server:389/OU=test,DC=domain,DC=local?sAMAccountName?sub?(objectClass=*) machen.

 

Bei allen Schritten, die Du jetzt durchführst, solltest Du einen Test nach dem anderen machen und nichts vermengt.

 

Ich habe kein Apache Testsystem hier, daher kann ich es selbst nicht nachstellen. Ist wahrscheinlich nur ein "klitzekleiner" Fehler, da Du ja einen Benutzer selbst authentifizieren kannst, nur nicht die Gruppenmitglieder. Der DN der Gruppe ist definitiv korrekt - oder hat sich hier vielleicht ein Fehler im Pfad eingeschlichen?

 

Viele Grüße

olc

Link zu diesem Kommentar

@olc

 

habe eben mal dieses ADInSight entpackt und geöffnet

habe als filter alles aktiviert.

 

wenn ich jetzt von dem linuxrechner die htaccessanmeldung mache oder auch von einem anderen client via ldp.exe auf die ad zugreife sehe ich im ADInSight GARNICHTS ?!?!

 

ja die gruppe stimmt

CN=nagios-web-acc,OU=test,DC=xxxxx,DC=local

 

habe die mal rauskopiert und in den lpd.exe reingeschmissen.

diese spuckt die werte dann richtig aus.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...