LDAP Authentifizierung

[MrAndersson 10]

Hallo,

 

ich habe letzte Woche einen Windows Server 2003 mit als Domänencontroller (Domäne:Internet.local) installiert und die Benutzer in die OU Users eingepflegt.

Zusätzlich habe ich noch eine Endian Firewall installiert. Diese möchte ich nun als Proxy-Server verwenden, sodass alle Benutzer, die sich am Domänencontroller anmelden auch über den Proxy surfen können.

 

In der Endian Firewall gibt es nun die Möglichkeit bei Authentifizierung "LDAP" einzustellen.

Was muss ich nun dort einstellen?

 

cn=Users,dc=Internet,dc=local <- ist das so richtig?

 

Und dann gibt es noch den Punkt "Bind DN Benutzername" und "Bind DN Passwort", auch dort habe ich leider keine Ahnung, was ich eintragen muss.

 

Ich hoffe, dass schon jemand von euch Erfahrung mit der Endian Firewall gemacht hat und mir weiterhelfen kann?

 

Gruß

[phoenixcp 10]

Hallo MrAnderson

 

Auch wenn ich die Endian FW nicht kenne, aber:

cn=Users,dc=Internet,dc=local <- ist das so richtig?

Das sollte nach meinem Verständnis und kurzer Lektüre von HTTP Proxy

korrekt sein.

 

In den Feldern "Bind DN Benutzername" und "Bind DN Passwort" musst du den Benutzernamen und das Passwort deines Bind DN Users eingeben, welchen du vorher in deinem AD anlegen musst. Sprich: der Account, mit dem die FW in der Lage ist, im AD nachzuschauen, ob es sich bei dem User, der über den Proxy gehen will, um einen gültigen Benutzer aus dem AD handelt.

[MrAndersson 10]

 

cn=Users,dc=Internet,dc=local <- ist das so richtig?

 

Das sollte nach meinem Verständnis und kurzer Lektüre von HTTP Proxy

korrekt sein.

Okay, also muss cn=Users also die Ou sein, in der sich alle Benutzer befinden?

Hatte anfangs gedacht, dass dies eine Gruppe ist, in der sich alle Benutzer befinden, aber wenn du da zustimmst ist das hoffentlich so richtig.

 

In den Feldern "Bind DN Benutzername" und "Bind DN Passwort" musst du den Benutzernamen und das Passwort deines Bind DN Users eingeben, welchen du vorher in deinem AD anlegen musst.

Wäre super, wenn du mir sagen könntest, wo ich diesen anlegen kann.

 

Gruß

[phoenixcp 10]

Hast du den Link in meinem ersten Posting gesehen?

[MrAndersson 10]

Ja, habe gerade den binduser angelegt, allerdings funktioniert es immer noch nicht :(

Ich bin wie nach Anleitung vorgegangen:

Objektverwaltung zuweisen -> Hinzufügen: binduser -> Benutzerdefinierte Tasks zum Zuweisen erstellen -> Benutzer-Objekte -> Alle Eigenschaften lesen

 

Diesen habe ich dann unter LDAP mit Passwort eingetragen.

 

Es kommt zwar, wenn ich am Client z.B. den Firefox öffne eine Abfrage, allerdings nimmt er den Benutzernamen und das Passwort nicht an :(

[phoenixcp 10]

In welcher AD-OU hast du denn den Bind User angelegt?

[MrAndersson 10]

In der OU "Users", wo sich auch alle anderen Benutzer befinden.

[solinske 10]

Du musst den Distinguished Name eintragen. Einfach per ADSIEdit den User raussuchen und dann den DN raussuchen. Dann klappt es auch mir der Bafrage des ADs.

[MrAndersson 10]

den Distinguished Name eintragen. Einfach per ADSIEdit den User raussuchen und dann den DN raussuchen.

Was ist denn der "Distinguished Name" und wo finde ich diesen?

Und was ist ADSIEdit bzw. was kann ich damit machen?

 

Habe beide Begriffe noch nie gehört, wäre super nett, wenn du mir sagen könntest, was ich damit machen kann und wie ich vorzugehen habe.

 

Habe leider noch nicht sehr viel Erfahrung mit dem Windows 2003 Server, deshalb hoffe ich, dass du mir hier helfen kannst, wäre sehr nett !!

 

Gruß

[woiza 10]

Adsiedit Overview: Active Directory

 

Hier erfährst du alles über ADSIEdit. Grob gesagt ist das ein Editor fürs AD, der dir wirklich vollen Zugriff auf alle Attribute gibt.

 

Mit diesem Tool suchst du unter Domains einfach deinen User, den du verwenden möchtest. Dann klickst du ihn rechts an und wählst Eigenschaften. Dort steht unter anderem der DN. Dieser ist vergleichbar mit einem DNS Namen. Du hast oben übrigens schon einen gepostet:

cn=Users,dc=Internet,dc=local

wäre einer. Wenn darin ein User liegt, der z.B. fw-admin heißt, dann wäre der DN dieses Users

cn=fw-admin,cn=Users,dc=Internet,dc=local

.

 

Du solltest aber auch überprüfen, ob dein Firefox NTLM aktiviert hat. Mach lieber erstmal dir Tests mit IE. Wenn das tut, nimm FF.

[MrAndersson 10]

Adsiedit Overview: Active Directory

So, habe nun ADSIEdit über die Support Tools von MS installiert und muss sagen, dass dieses Tool echt super ist!

Habe testweise erst einmal den Benutzer Administrator eingetragen, um diesem den Zugang über den Proxy zu gewähren, leider hat das noch nicht richtig geklappt. :(

Ich habe hier einmal meine Konfiguration meiner LDAP Einstellungen im Advanced ProxyServer (im Webinterface des IPFires):

 

Base DN: CN=Administrator,CN=Users,DC=Internet,DC=local

Base DN Benutzername: CN=binduser,CN=Users,DC=Internet,DC=local

 

Muss ich, wenn ich alle Benutzer einer Gruppe über den Proxy surfen lassen möchte, diese oben bei Base DN (entsprechend dann CN=Internetbenutzer,CN=Users....) eintragen oder muss ich dann an dem Punkt "Erforderliche Gruppe" den Distinguished Name (CN=Internetbenutzer,CN=Users...) eintragen?

 

 

Nachdem ich mich nun mit dem Client an der Domäne angemeldet habe und den Internetzugriff mittels InternetExplorer getestet habe, bekam ich folgende Fehlermeldung:

 

Auf jedenfall schonmal danke für eure Antworten, wäre sonst nie auf den ADSI Edit gekommen!!

Habt ihr vielleicht eine Ahnung, welche Veränderungen ich noch vornehmen müsste? Wäre super, wenn ich noch einige Tipps von euch bekommen könnte..

[Christoph35 10]

Hi,

 

als Base-DN trägst Du cn=users,dc=internet,dc=local ein.

 

Der DN für die Gruppe gehört dann in das Feld "Gruppenbasierte Zugriffskontrolle".

 

Christoph

[MrAndersson 10]

Das hat leider auch nicht funktioniert. :(

Ich habe die selbe Fehlermeldung wie vorher auch bekommen.

Der Firefox meldet:

 

Woran könnte es sonst liegen?

 

Hier mal der Auszug der ADSIEdit:

 

Stimmt vielleicht etwas mit der Übertragung nicht?

Wird eventuell ein Port (von LDAP?) geblockt?

Habe aber eigentlich am Windows Server 2003 die Firewall deaktiviert...

 

Weiss momentan leider garnicht mehr weiter :(

[woiza 10]

Hallo,

 

ich kenne Endian nicht, habe aber mal hier nachgelesen.

 

Unter BAse-DN trägst du eine OU, den "CN=Users" oder auch die ganze Domäne ein. Von hier an sucht der Proxy abwärts nach den entsprechenden Benutzern.

 

Unter Bind DN muss ein Benutzer stehen, der das Recht hat, aus dem AD Attribute zu lesen. Das sollte jeder dürfen.

 

Unter "Erforderliche Gruppe" kannst du eine Gruppe eintragen, die darf, das ist aber optional.

 

Kannst du denn von deiner Endian aus einen Telnet auf Port 389 auf den DC absetzen?

[MrAndersson 10]

@woiza:

Unter BAse-DN trägst du eine OU, den "CN=Users" oder auch die ganze Domäne ein. Von hier an sucht der Proxy abwärts nach den entsprechenden Benutzern.

Ja, habe wie Christoph35 schon sagte: cn=users,dc=internet,dc=local eingetragen, dass müsste eigentlich der korrekte Bind-DN sein.

 

Unter Bind DN muss ein Benutzer stehen, der das Recht hat, aus dem AD Attribute zu lesen. Das sollte jeder dürfen.

Yes, dafür habe ich meinem binduser unter "Objektverwaltung zuweisen" (rechtsklick auf OU) "Alle Eigenschaften lesen" zugewiesen.

 

Kannst du denn von deiner Endian aus einen Telnet auf Port 389 auf den DC absetzen?

Muss ich den Befehl auf der Shell nach der Anmeldung als root ausführen?

Habe telnet IPdesServers 389 probiert, allerdings kommt dann die Fehlermeldung: command not found.

Kennst du hier den richtigen Befehl?