Jump to content

LDAP Query "invalid credentials"


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo Zusammen

 

Ich benötige eure Hilfe, meine Suche auf Google, Bing sowie hier im Forum hat uns leider nicht weiter gebracht.

 

Wir möchten einen LDAP Bind auf unsere Windows Server 2008 Domäne herstellen (Functional Level: Windows Server 2008), dafür verwenden wir testweise den Softerra LDAP Administrator 2011.

 

Unser Problem:

Wir erhalten immer die Meldung "invalid credentials" obwohl der User & Passwort zu 100% stimmen.

Komischerweise funktioniert es sobald wir den Mechanism von Simple auf GSS Negotiate ändern.

 

Principal haben wir den vollen DN, nur den Accountname sowie Accountname@domain.net alles schon getestet, jeweils das gleiche Problem.

 

Unsere Frage:

An was kann das liegen das wir nur mit dem GSS Negotiate Mechanism verbinden können?

Einzige Einstellungen welche wir bis jetzt gefunden haben ist das LDAP signing, dies ist es jedoch nicht, da dies deaktiviert ist und wenn wir es aktivieren erhalten wir eine andere Fehlermeldung -> "Only encrypted connection are allowed".

 

Für eure Hilfe und Tips danke ich euch schon im Voraus.

 

mit Gruss

Tom

Link to comment

Probier mal bei LDAP Simple Binds an AD als Credential das gute alte

 

"Domain\Username"

 

Sei dir bitte aber bewußt dass du mit Simple Bind dein Passwort unverschlüsselt über's Netz schickst - also wenn das ganze nicht in einer LDAP-SSL-Session abläuft ist das eigentlich nicht sehr toll.

 

Was stört euch den so an GSS Negotiate.....das wäre nämlich dann in diesem Fall eine schöne Kerberos-Anmeldung. Warum nicht?

 

Gruß,

Philipp

Link to comment

Hallo Philipp

 

Vielen Dank für deine Antwort, leider bekomme ich mit dem guten alten Domain\Username die gleiche Fehlermeldung.

 

Betreffend der Kerberos Anmeldung:

Wir müssen mit PHP eine LDAP Abfrage erstellen, dies ist jedoch über GSS Negotiate nicht möglich (bzw. ich habe es nicht hingekriegt :)).

 

Hoffe immer noch das es eine einfache GPO Einstellung oder ähnliches ist, welches die unverschlüsselte Verbindung verweigert...

 

Danke und Gruss

Tom

Link to comment

Hmmm, außer dem "Only encrypted connection are allowed" das ihr schon probiert habt fällt mir eigentlich keine Server-Einstellung ein mit der Simple LDAP Binds verboten werden.

 

Hast du das gleiche Ergebnis auch mit anderen LDAP-Browsern (LDP.EXE von Microsoft oder LEX - The LDAP Explorer ) ??

 

Außerdem: Bei einem LDAP Bind kommt auch dann die Fehlermeldung "Invalid Credentials", wenn in Wirklichkeit der Benutzer nur disabled ist, oder sein Passwort abgelaufen ist, oder er bei der nächsten Anmeldung das Passwort ändern muss.....ist es vielleicht das?

 

Gruß,

Philipp

Link to comment

Danke für die Antwort, leider bekomme ich mit dem LDP.EXE von Microsoft die gleiche Fehlermeldung (domain\user, user, user@domain):

 

res = ldap_simple_bind_s(ld, 'user@domain', <unavailable>); // v.3

Error <49>: ldap_simple_bind_s() failed: Invalid Credentials

Server error: 80090308: LdapErr: DSID-0C0903AA, comment: AcceptSecurityContext error, data 531, v1772

Error 0x80090308 The token supplied to the function is invalid

 

Am User kann es leider auch nicht liegen, logge mich jedesmal mit diesem Benutzer ein und mit der GSS Negotiation läuft es auch...

 

Danke & Gruss

Tom

Link to comment

Leider auch nicht, den habe ich auch schon gefunden, nur hat unser DN nur 50 Zeichen :)

 

Ist wirklich mysteriös, vorallem habe ich schon alles versucht um das Problem auf unserer Testdomäne nachzustellen, bislang ohne Erfolg...

 

Trotzdem vielen Dank für deine Hilfe..

 

Gruss

Tom

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...