htaccess ldap ads windows

[olc 18]

Hi bitwicht,

 

schau Dir bitte einmal Schritt für Schritt alle Punkte an, die ich oben geschrieben habe und poste hier ggf. die Ergebnisse bzw. Antworten. :)

ADInSight als auch ein Netzwerktrace sollte definitiv Daten liefern - wenn nicht, ist etwas am Testaufbau nicht korrekt. Ggf. müßtest Du das noch einmal prüfen.

 

 

Viele Grüße

olc

[bitwicht 10]

@olc

 

wie du schon gesagt hast kann man eigentlich nichts falsch machen.

 

habe das programm direkt auf den domaincontroller gezogen und entpackt.

in dem verzeichnis ist ja nur die ADInsight.exe

 

diese habe ich gestarte, als filter mal alles ausgewählt das alles angezeigt wird.

 

dann eine anfrage gemacht aber das programm bleibt leer

 

hast du noch ein tip für ne anleitung ?

[olc 18]

Hi,

 

eine Anleitung für ADInSight habe ich leider nicht - war bisher auch nicht nötig. ;)

 

Aber ich muß mich wiederholen ;) - bitte prüfe auch die anderen oben genannten Punkte. Dann schauen wir ggf. weiter.

 

Viele Grüße

olc

[bitwicht 10]

@olc

 

habe mal diesen ms network monitor installiert.

leider ist das ding total komplex und man kann da nicht wirklich schön etwas ablesen.

 

habe dann mal wie vor dir vorgeschlagen eine abfrage mit:

sAMAccountName?sub?(objectClass=*)

und

sAMAccountName?sub?

 

 

ich sehe das die anfrage beim dc ankommt und sAMAccountName=anmeldeuser in den trafficdetails.

 

hier noch ein auszug:

 

 

369 9.937500 lsass.exe {LDAP:53, TCP:51, IPv4:43} 192.168.x.x 192.168.x.x LDAP LDAP:Search Request, MessageID: 4, BaseObject: OU=test,DC=xxxxx,DC=local, SearchScope: WholeSubtree, SearchAlias: derefAlways

 

370 9.937500 lsass.exe {LDAP:53, TCP:51, IPv4:43} 192.168.x.x 192.168.x.x LDAP LDAP:search Result Done, MessageID: 4, Status: Success

 

 

 

was ich nicht sehe das er die gruppe abfrägt ?!?!

[olc 18]

Hi,

 

mit zwei Frames aus einem Netzwerktrace läßt sich nicht viel anfangen. ;)

Bitte - schau Dir alle meine Beiträge oben noch einmal an und prüfe jeden Punkt (etwa Gruppen Typ etc.). Erst dann brauchen wir uns hier die Arbeit zu machen, weiter nach dem Problem zu suchen. Ohne strukturierte Arbeitsweise kommen wir hier nicht weiter.

 

Bitte teste zusätzlich einmal die folgende zusätzliche Option in der .htaccess Datei:

AuthLDAPGroupAttributeIsDN on

Setze die Zeile am besten eine Zeile vor dem "require ldap-group".

 

Wenn das nicht funktioniert entferne die Zeile wieder und setze den Gruppennamen auf das folgende:

require ldap-group CN=nagios-web-acc

 

Geht auch das nicht, versuche noch einmal das folgende:

require ldap-group nagios-web-acc

 

Viele Grüße

olc

[bitwicht 10]

@olc

 

sorry das mit deiner gruppenzugehörigkeitsfrage habe ich übersehen.

 

- ja es ist eine globlae sicherheits gruppe

 

-AuthLDAPGroupAttributeIsDN on hat nicht gebracht

 

- require ldap-group CN=nagios-web-acc hat nichts gebracht

 

- require ldap-group nagios-web-acc hat nichts gebracht

 

- ich habe zusätzlich nocht den schalter AuthzLDAPAuthoritative in jedem der oberen varianten auf on / off gestellt

 

- ich habe bei allen varianten noch ?sub?(objectClass=*) oder ?sub versucht.

 

 

leider alles ohne erfolg.

–

Hier die Lösung:

 

AuthName "Nagios Access"

AuthType Basic

AuthBasicProvider ldap

AuthzLDAPAuthoritative off

AuthLDAPURL "ldap://servernameoderip:3268/DC=domain,DC=local?sAMAccountName?sub?(objectClass=*)"

AuthLDAPBindDN "domainuser@domain.local"

AuthLDAPBindPassword domainuser-pass

AuthLDAPGroupAttribute member

AuthLDAPGroupAttributeIsDN on

Require ldap-group CN=gruppezuberechtigen,OU=pfad,DC=domain,DC=local

 

 

und vielen dank für eure mühe.

 

 

lg

bit

[olc 18]

Hi bit,

 

also war die Lösung das fehlende "AuthLDAPGroupAttribute member".

 

Vielen Dank für Deine Rückmeldung und die Lösung.

 

P.S.: Trace per privater Nachricht war in diesem konkreten Fall richtig (wegen Datenschutz).

Ich habe gerade einmal hinein geschaut - in dem Trace wurde direkt nach dem Benutzer "test" gesucht, nicht die Gruppe angegeben. Klingt nachvollziehbar, daß Du die oben genannte Option setzen mußt, damit er die Mitglieder ausliest.

Interessant wäre jetzt ein Trace mit dem Gut-Fall. Also wenn Du noch einmal einen Netzwerktrace auf dem gleichen Weg wie den letzten bereitstellen würdest, der eine erfolgreiche Anmeldung zeigt, wäre das klasse. :)

 

Viele Grüße

olc

[bitwicht 10]

@olc

 

mache ich dir selbstverständlich und bekommst du morgen.

 

 

die apache doku könnte hier etwas genauer drauf hinweisen wenn man es unbedingt setzen muss. ist leider ganz unten nur am rande erwähnt. sowas hätten sie auch gleich in das bsp tippen können. stolpern bestimmt 60% drüber.

 

lg

bit

[olc 18]

Hi bit,

 

denkst Du noch an den Trace? :)

 

Danke und Gruß

olc

[bitwicht 10]

@olc

 

ja liege mit fieber im bett aber bekommst du noch

[olc 18]

Hi,

 

klasse, vielen Dank. Dann mal gute Besserung!

 

Viele Grüße

olc

[olc 18]

Hi bitwicht,

 

vielen Dank für den Trace.

 

Es ist also tatsächlich so, wie zu vermuten war: Wird die Option "AuthLDAPGroupAttribute member" nicht angegeben, macht das System direkt eine Suche auf den Accountnamen, nicht auf die Gruppenzugehörigkeit. Erst mit dieser Option werden per "ldap compare" die Member der Gruppe als Ergebnisliste mit dem übergebenen Benutzernamen verglichen.

 

Interessant, daß man das tatsächlich kaum im Internet findet. Sollten doch schon mehr Nutzer darüber gestolpert sein.

 

Vielleicht magst Du ja ein kleines HowTo für Windows Server How-To Guides: Home - ServerHowTo.de fertig machen? :)

 

P.S.: Bitte das Kennwort für den LDAP-Bind Benutzer ändern. ;)

 

Vielen Dank und viele Grüße

olc