LDAP Query "invalid credentials"

[Tom H 10]

Hallo Zusammen

 

Ich benötige eure Hilfe, meine Suche auf Google, Bing sowie hier im Forum hat uns leider nicht weiter gebracht.

 

Wir möchten einen LDAP Bind auf unsere Windows Server 2008 Domäne herstellen (Functional Level: Windows Server 2008), dafür verwenden wir testweise den Softerra LDAP Administrator 2011.

 

Unser Problem:

Wir erhalten immer die Meldung "invalid credentials" obwohl der User & Passwort zu 100% stimmen.

Komischerweise funktioniert es sobald wir den Mechanism von Simple auf GSS Negotiate ändern.

 

Principal haben wir den vollen DN, nur den Accountname sowie Accountname@domain.net alles schon getestet, jeweils das gleiche Problem.

 

Unsere Frage:

An was kann das liegen das wir nur mit dem GSS Negotiate Mechanism verbinden können?

Einzige Einstellungen welche wir bis jetzt gefunden haben ist das LDAP signing, dies ist es jedoch nicht, da dies deaktiviert ist und wenn wir es aktivieren erhalten wir eine andere Fehlermeldung -> "Only encrypted connection are allowed".

 

Für eure Hilfe und Tips danke ich euch schon im Voraus.

 

mit Gruss

Tom

[P.Foeckeler 11]

Probier mal bei LDAP Simple Binds an AD als Credential das gute alte

 

"Domain\Username"

 

Sei dir bitte aber bewußt dass du mit Simple Bind dein Passwort unverschlüsselt über's Netz schickst - also wenn das ganze nicht in einer LDAP-SSL-Session abläuft ist das eigentlich nicht sehr toll.

 

Was stört euch den so an GSS Negotiate.....das wäre nämlich dann in diesem Fall eine schöne Kerberos-Anmeldung. Warum nicht?

 

Gruß,

Philipp

[Tom H 10]

Hallo Philipp

 

Vielen Dank für deine Antwort, leider bekomme ich mit dem guten alten Domain\Username die gleiche Fehlermeldung.

 

Betreffend der Kerberos Anmeldung:

Wir müssen mit PHP eine LDAP Abfrage erstellen, dies ist jedoch über GSS Negotiate nicht möglich (bzw. ich habe es nicht hingekriegt :)).

 

Hoffe immer noch das es eine einfache GPO Einstellung oder ähnliches ist, welches die unverschlüsselte Verbindung verweigert...

 

Danke und Gruss

Tom

[P.Foeckeler 11]

Hmmm, außer dem "Only encrypted connection are allowed" das ihr schon probiert habt fällt mir eigentlich keine Server-Einstellung ein mit der Simple LDAP Binds verboten werden.

 

Hast du das gleiche Ergebnis auch mit anderen LDAP-Browsern (LDP.EXE von Microsoft oder LEX - The LDAP Explorer ) ??

 

Außerdem: Bei einem LDAP Bind kommt auch dann die Fehlermeldung "Invalid Credentials", wenn in Wirklichkeit der Benutzer nur disabled ist, oder sein Passwort abgelaufen ist, oder er bei der nächsten Anmeldung das Passwort ändern muss.....ist es vielleicht das?

 

Gruß,

Philipp

[Tom H 10]

Danke für die Antwort, leider bekomme ich mit dem LDP.EXE von Microsoft die gleiche Fehlermeldung (domain\user, user, user@domain):

 

res = ldap_simple_bind_s(ld, 'user@domain', <unavailable>); // v.3

Error <49>: ldap_simple_bind_s() failed: Invalid Credentials

Server error: 80090308: LdapErr: DSID-0C0903AA, comment: AcceptSecurityContext error, data 531, v1772

Error 0x80090308 The token supplied to the function is invalid

 

Am User kann es leider auch nicht liegen, logge mich jedesmal mit diesem Benutzer ein und mit der GSS Negotiation läuft es auch...

 

Danke & Gruss

Tom

[P.Foeckeler 11]

Wirklich mysteriös....

 

Der hier vielleicht ?

 

An LDAP simple bind to a Windows Server 2008 R2-based domain controller fails when the user name has more than 255 characters in the distinguished name

 

Ansonsten fällt mir nicht mehr viel ein dazu...

[Tom H 10]

Leider auch nicht, den habe ich auch schon gefunden, nur hat unser DN nur 50 Zeichen :)

 

Ist wirklich mysteriös, vorallem habe ich schon alles versucht um das Problem auf unserer Testdomäne nachzustellen, bislang ohne Erfolg...

 

Trotzdem vielen Dank für deine Hilfe..

 

Gruss

Tom