Jump to content

Ldaps nicht erreichbar

todde_hb

Von todde_hb
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

todde_hb Proficient

todde_hb   4

Geschrieben
Geschrieben

Hi zusammen,

 

möchte gerade ein Nextcloudinstanz mit dem AD via Ldaps verbinden. Nextcloud bekommt allerding keine Verbindung zustande. Jetzt weiss ich nicht, ob es an Nextcloud, oder am Ad bzw. DC liegt. Auf dem DC habe ich ldap.exe gestartet und vie Hostname eine Verbindung mit ldaps Port 636 aufbauen können. Danach habe ich inder Firewall vom DC eine neue Regel erstellt, dass Port 636, sowohl TCP als auch UDP, freigeben wird. Aber Nextcloud verweigert die Verbindung. Normals Ldap klappt ohne Probleme. Hat jemand einen Tipp?

 

ciao, todde_hb

Link zu diesem Kommentar
todde_hb Proficient

todde_hb   4

Geschrieben
  • Autor
Geschrieben

Also Firewall blockt erstmal nicht.

  

2023-10-18 10:15:13 ALLOW TCP 192.168.55.1 192.168.1.250 13727 636 0 - 0 0 0 - - - RECEIVE

 

Nextcloud.log sagt zu dem Thema rein gar nichts.

 

Was genau ist mit dem Zertifikat gemeint? Sehe bei Nexcloud keinen Hinweis, dass man Zertifikaten vertrauen soll/muss

 

Habe diesen Artikel gefunden. Werde ihn mal abarbeiten. Evtl. ist das die Lösung.

Link zu diesem Kommentar
testperson Grand Master

testperson   1.534

Geschrieben
Geschrieben
vor 4 Minuten schrieb todde_hb:

Was genau ist mit dem Zertifikat gemeint?

Das "S" in LDAPS steht für SZertifikat. ;) Die Nextcloud muss dem Zertifikat dann scheinbar vertrauen: Activate LDAP over SSL - ℹ️ Support - Nextcloud community

Zitat

...

You have to export the certificate from the Domain Controller, and put it on your server under /etc/ssl/certs (could be different depending on your operating system, i assume ubuntu here).

Then you reference the cert file under /etc/ldap/ldap.conf

...

 

  • Haha 1
Link zu diesem Kommentar
todde_hb Proficient

todde_hb   4

Geschrieben
  • Autor
Geschrieben
vor 7 Stunden schrieb testperson:

Das "S" in LDAPS steht für SZertifikat. ;) Die Nextcloud muss dem Zertifikat dann scheinbar vertrauen: Activate LDAP over SSL - ℹ️ Support - Nextcloud community

 

Ja, danke. Das habe ich auch bereits herausgefunden, ABER welches Zertifikat muss ich exportieren.?Aus dem von dir verlinkten Artikel geht das nicht so hervor, oder ich bin einfach zu b***d das zu checken. Ich habe auf dem DC nur ein CA Zertifikat im personal store, sowie einige von Veeam erzeugte.

Link zu diesem Kommentar
todde_hb Proficient

todde_hb   4

Geschrieben
  • Autor
Geschrieben
vor 2 Minuten schrieb NorbertFe:

Das von der ausstellenden CA und ggf. auch das dazugehörige Root CA. NICHT exportieren musst du das eigentliche Service Zertifikat.

 

Ehrlich, du sprichst spanisch. Ich poste mal nen Screenshot.

 

mmc_certs.thumb.png.f039594ace4be876a1a2f63c1cdebb5c.png

 

1 und 2 habe ich bereits exportiert und auf dem Nextcloud Server ausprobiert bzw. gespeichert und in der ldap.conf verlinkt. Ohne Erfolg

vor 1 Minute schrieb NorbertFe:

Naja ein ldp zeigt dir sehr schnell, dass das nicht so ist. ;) Aber bitte, jeder soll mit seiner eigenen Paranoia glücklich werden. :)

 

Das war ja von localhost. Mit Paranoia hat das weniger zu tun, eher mit meiner persönlichen Erfahrung. Microsoft denkt zu wenig die armen Admins bei der Gestaltung der User-Experience. Wie gesagt, nur meine persönliche Einschätzung. Aber back to topic

Link zu diesem Kommentar
todde_hb Proficient

todde_hb   4

Geschrieben
  • Autor
Geschrieben
vor 11 Minuten schrieb testperson:

Da dein DC scheinbar deine Zertifizierungsstelle ist, sollte es reichen "1" ohne private Key zu exportieren und in der Nextcloud entsprechend zu importieren.

 

Habe ich auch so gemacht, alsx.509 und  Base64 encoded. Dann unter /etc/ssl/certs/ldaps.crt abgespeichert und dann in der ldap.conf link drauf. Klappt nicht. In der nexcloud.log sehe ich dann dies

  

Line":146,"message":"OC\\ServerNotAvailableException: Lost connection to LDAP server.","exception":{},"CustomMessage":"OC\\ServerNotAvailableException: Lost connection to LDAP server."}}

 

Aber dieser logeintrag korreliert zeitlich nicht mit meiner Konfig in der Nextcloud Gui.

Link zu diesem Kommentar
daabm Grand Master

daabm   1.185

Geschrieben
Geschrieben

So einfach ist das jetzt leider nicht. Bei LDAPS kannst Du nicht festlegen, welches Zertifikat verwendet wird... Da mußt dann "remote" schauen, welches im SSL-Handshake präsentiert wird. Soweit ich weiß, wird von allen, die "Server-Auth" haben, das neueste genommen. Test:

 

https://github.com/daabm/PowerShell/blob/master/Scripts/Test-TcpPorts.ps1

Aufrufen mit -Ports 636 -IncludeSSL -SSLPorts 636, dann siehst zumindest mal welche SAN und so im Cert stehen. Wenn Du's genauer weissen willst: -PassThru anhängen und das Ergebnis speichern, dann hast ein Objekt, in dem das Cert drinsteckt inkl. .Save( "Dateiname" ) Methode. Aber jetzt wird's zu esoterisch :-)

Das mit "muß der CA-Kette vertrauen" steht oben ja schon. Ich weiß übrigens nicht, ob LDAPS mit SelfSigned überhaupt funktioniert, nie probiert mangels Umgebung ohne CA :-)

 

  • Like 1
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...