Community
    • Categories
    • Recent
    • Popular
    • Users
    • Search
    • Register
    • Login

    LDAP Anmeldung

    Scheduled Pinned Locked Moved Betrieb
    52 Posts 10 Posters 23.0k Views 1 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D Offline
      DerMarkus
      last edited by

      Hallo, ich kenn nur eine Version (0.9.5)

      Bei mir haut die LDAP-Anmeldung auch nicht hin.

      • LDAP-Server wurde konfiguriert (Connection OK!)
      • Gruppenfilter gesetzt (50 or more objects found in OU….), Userfilter funktioniert nicht, wollte ich nur testen

      Bei Kontakte/intern/Gruppen/ bei Admin LDAP-Gruppe (Mapping): Den Gruppennamen reingeschrieben. (In der Mitte seh ich ein A4-Blatt mit nem Schlüsel, was auch immer der bedeutet)

      Wenn ich das richig verstanden habe, sollte sich der User, welcher sich in der Gruppe befindet anmelden können und Admin sein (mit seinem Domänen-Anmeldenamen).
      Wenn ich mich aber anmelde:

      Username: Anmeldename
      Passwort. .......

      bekomme ich immer: Invalid username or password!

      Kann mir wer sagen was ich falsch mache?

      1 Reply Last reply Reply Quote 0
      • dsD Offline
        ds
        last edited by

        In den LDAP-Mappings unter LDAP->Directories steht der sAMAccountName beim Username Feld drin?
        Hast du die Möglichkeit bei dir auch ins LDAP-Log reinzuschauen?

        1 Reply Last reply Reply Quote 0
        • D Offline
          DerMarkus
          last edited by

          Ein Edit zum vorigen Eintrag.
          Das mit der User Abfrage bei LDAP Parameter für User-Authentifizierung funktioniert doch.

          Also bei die LDAP-Mappings bei Directories hab ich nichts konfiguriert:

          Zitat aus dem Wiki:
          Nach der Konfiguration Ihres LDAP Servers und erfogleichem Verbiondungs-Test können sich Benutzer aus der Konfigurierten OU in die i-doit Oberfläche einloggen. Der Benutzername fürs Active Directory ist in der Standardeinstellung der sAMAccountName, also der Windows Logon Name. Für Novell und OpenLDAP wird der CN als Benutzername verwendet. Sollte das dann nicht schon funktionieren?

          Wir verwenden das Active Directory.

          Wenn ich die LDAP-Mappings konfiguriere, löscht es mit immer meine Einträge wieder raus, trotz speichern.
          so hab ichs gemacht:
          Username: Domäne\Windows-Logon-Name (das ist dich der sAMAccountName oder?)
          Groups: Geb ich z.B (lokal_admins) an.
          Firstname: Was im AD bei Vorname steht
          Lastname: Was im AD bei Nachname steht
          Mail address: nix
          Object class: den Eintrag von object class beim User aus dem AD-Explorer, weiß aber nicht ob das richtig ist.

          Ich find irgendwie kein LDAP.log, könntest du mir vielleicht sagen wo ich die finde bzw. was ich da machen muss

          Danke mal für die Antwort

          1 Reply Last reply Reply Quote 0
          • dsD Offline
            ds
            last edited by

            Bei den Mappings kommen nicht die Inhalte der AD-Felder, sondern die Namen der LDAP-Attribute rein. Versuch mal die Felder exakt so zu füllen wie das Beispiel im WIKI

            -> http://doc.i-doit.org/wiki/LDAP#LDAP-Mappings

            1 Reply Last reply Reply Quote 0
            • D Offline
              DerMarkus
              last edited by

              Hab ich versucht, jetzt kommt nur noch Error 😞

              1 Reply Last reply Reply Quote 0
              • dsD Offline
                ds
                last edited by

                Was fürn error? Username or password wrong?

                1 Reply Last reply Reply Quote 0
                • T Offline
                  ThinkFish
                  last edited by

                  das problem hab ich auch.
                  nach eingabe des usernamen und passwort steht im roten fenster "i-doit system error: Error."
                  ausserdem verschwindet der anmeldeknopf unter username und passwort.
                  ich kann nur noch "back" im iexplorer gehen

                  wenn ich beispielsweise ein falsches passwort eingebe, bekomm ich die bekannte meldung
                  über invalid user or invalid password (eh klar …)

                  beim richtigen passwort passiert eben nur "Error."

                  lg
                  g

                  1 Reply Last reply Reply Quote 0
                  • D Offline
                    DerMarkus
                    last edited by

                    Genau das bekomm ich auch "i-doit system error: Error"

                    1 Reply Last reply Reply Quote 0
                    • T Offline
                      ThinkFish
                      last edited by

                      hallo!
                      hat schon jemand ne ahnung, was da los ist?
                      leider scheint in diesem thread nix weiterzugehen ….
                      lg
                      g

                      1 Reply Last reply Reply Quote 0
                      • dsD Offline
                        ds
                        last edited by

                        Also ich hab das gerade nochmal bei mir getestet und alles funktioniert wunderbar.
                        Könnt ihr vielleicht einmal die aktuelle Revision (unstable) ausprobieren: http://dev.synetics.de/nb/idoit-3880.zip - Update auf i-doit v0.9.5.x SVN und LDAP Auswahl nicht vergessen

                        1 Reply Last reply Reply Quote 0
                        • D Offline
                          DerMarkus
                          last edited by

                          Ich hab es wie im Wiki beschrieben gemacht.
                          Die Datein in den I-do-it Ordner extrahiert und habe danach Updates auf der Weboberfläche ausgewählt.
                          Dort wird aber nichts erkannt.

                          1 Reply Last reply Reply Quote 0
                          • dsD Offline
                            ds
                            last edited by

                            Wo liegt denn dein i-doit Ordner? Wenn du die Windows Installation verwendest ist das nicht c:\programme\i-doit, sondern der htdocs Ordner vom Apache:
                            c:\programme\i-doit\apache\htdocs\

                            1 Reply Last reply Reply Quote 0
                            • D Offline
                              DerMarkus
                              last edited by

                              Danke, das Update hat jetzt geklappt.

                              Nach dem Update wollte ich mich anmelden da kommt dann: Das ich mindestens Leserechte bräuchte.
                              Aber bei Kontakte sind die Gruppen verschwunden bzw. kann ich dann ein paar Menüs nicht mehr aufmachen.
                              Ansonsten sollte dann die Anmeldung aber möglich sein, weil anscheinend erkennt er jetzt meinen User nur sind dem keine Rechte zugewiesen.

                              1 Reply Last reply Reply Quote 0
                              • M Offline
                                mg
                                last edited by

                                Hallo,
                                  habe jetzt auch den Update auf idoit 3889 gemacht.
                                LDAP-Anmeldung funktioniert nach wie vor nicht. Beim Anmelden eines Benutzers (den es in den lokalen Kontakten von i-doit nicht gibt) kommt die Fehlermeldung: Invalid username or password!
                                Ist die LDAP-Konfiguration aktiv, kann ich in den Kontakten keine neuen Benutzer mehr anlegen.

                                Was machen wir denn falsch …???

                                Gruß mg

                                1 Reply Last reply Reply Quote 0
                                • dsD Offline
                                  ds
                                  last edited by

                                  @DerMarkus:
                                  In der aktuellen Version ist es so, dass du ein AD-Pendant zu den i-doit Rechtegruppen brauchst. Dieses setzt du im i-doit in der Detailansicht der entsprechenden Gruppe (z.B. Admin). Wenn du dort dann den Namen deiner AD Gruppe einträgst und sich der User, welcher sich anmeldet in der AD-Gruppe befindet bekommt er im i-doit die Admin Gruppe zugewiesen

                                  1 Reply Last reply Reply Quote 0
                                  • D Offline
                                    DerMarkus
                                    last edited by

                                    Jup

                                    Aber irgendwie ist folgendes:

                                    1. Wenn ich im LDAP-Menü die OU eintrage, wo sich die Gruppen befinden, bekomme ich beim Anmelden: Invalid Username or Password. (da verwend ich aber (objectClass=group))
                                    2. Wenn ich im LDAP-Menü die OU eintrage, wo sich die User befinden, bekomme ich beim Anmelden: Dass ich mindestens Lese-Rechte benötige. ((objectClass=user))

                                    Ein Eintrag wo ich statt der OU, direkt eine Gruppe (CN=Administrator,….. etc und (objectClass=user)) geht ja nicht, da kommt No object found. That means that no one will be able to login with the current setup. Check your filter and search-dn.

                                    Bei Nr.1 weiß ich nicht was ich dann noch machen könnte.
                                    Bei Nr.2 ist es dann so, dass ich dann keine Gruppe habe die ich dann als AD-Pendant eintragen könnte, da sich in der OU ja nur User befinden. Wenn ich die Gruppe eingebe gehts nicht. Ausserdem stürzt der Internet Explorer immer ab wenn ich bei Gruppen auf Admin auf editieren klicke (Version: 3880)

                                    Wie muss ich denn die Einträge da im LDAP MEnü machen, die OU wo die User drinnen sind oder wo die Gruppen drinnen sind?
                                    Hoffe das ist verständlich ausgedrückt?

                                    1 Reply Last reply Reply Quote 0
                                    • dsD Offline
                                      ds
                                      last edited by

                                      Im LDAP Menü musst du die OU angeben wodrin sich deine User befinden (Wie die Beschreibung schon sagt: "Nach Benutzern suchen in (OU) (*):") !

                                      Das LDAP-Gruppen Pendant trägst du hier ein: Kontakte -> Gruppen -> admin -> Ldap-Gruppe (Mapping)

                                      1 Reply Last reply Reply Quote 0
                                      • S Offline
                                        Schnitzelfisch
                                        last edited by

                                        Ich habe heute die 0.9.6-1 eignespielt und es wieder versucht, doch das Ergebnis unterscheidet sich praktisch nicht von meinem ersten. Ich poste es trotzdem, vielleicht fällt jemand etwas ein:

                                        
                                        Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 fd=39 ACCEPT from IP=127.0.0.1:59391 (IP=0.0.0.0:389)
                                        Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=0 BIND dn="cn=meinLDAPserver,ou=hosts,dc=meineDomain,dc=de" method=128
                                        Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=0 BIND dn="cn=meinLDAPserver,ou=hosts,dc=meineDomain,dc=de" mech=SIMPLE ssf=0
                                        Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=0 RESULT tag=97 err=0 text=
                                        Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=1 SRCH base="ou=persons,dc=meineDomain,dc=de" scope=2 deref=0 filter="(&(objectClass=inetOrgPerson)(uid=meinLDAPuser))"
                                        Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=1 SRCH attr=gidNumber objectClass givenName sn mail uid
                                        Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
                                        Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=2 SRCH base="ou=persons,dc=meineDomain,dc=de" scope=1 deref=0 filter="(cn=cn=KlarnameMeinesLDAPusers,ou=persons,dc=meineDomain,dc=de)"
                                        Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=2 SRCH attr=cn
                                        Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=3 UNBIND
                                        Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text=
                                        Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 fd=39 closed
                                        Apr 17 16:13:57 meinLDAPserver slapd[20001]: conn=384 fd=29 closed (connection lost)
                                        Apr 17 16:15:32 meinLDAPserver ntpd[20947]: time reset -948.602016 s
                                        
                                        

                                        Es fällt auf, daß zunächst an das LDAP gebunden wird, dann nach dem Suchen diese Bindung aber wieder gelöst wird. Welche Ursache kann das haben?
                                        Außerdem fällt auf, daß in der Konfiguration unter "Kontakte" der Verzeichnisbaum "LDAP" sich zwar aufklappen läßt, worunter dann ein einziges Blatt erscheint. Wenn ich auf dieses Blatt klicke, klappt dort der Baum jedoch zu, und die Markierung springt zum Eintrag intern/Gruppen/Nagios. Mag sein, daß es mit dem Problem etwas zu tun hat, darum erwähne ich das.

                                        EDIT:
                                        In den Attribute-Mappings habe ich testweise das Fed "Username" von "uid" auf "mail" gesetzt, weil ich wissen wollte, ob i-doit damit mehr Erfolg hat. Das führt bei den Anfragen aber nur dazu, daß das Feld "mail" zweimal übertragen wird. Ich bekomme dann auch immer zwei Anfragen an LDAP, wonach i-doit offenbar immer mit zwei Methoden die Authentifizierung versucht:

                                        
                                        Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=440 fd=35 ACCEPT from IP=127.0.0.1:40017 (IP=0.0.0.0:389)
                                        Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=440 op=0 BIND dn="cn=meinLDAPserver,ou=hosts,dc=meineDomain,dc=de" method=128
                                        Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=440 op=0 BIND dn="cn=meinLDAPserver,ou=hosts,dc=meineDomain,dc=de" mech=SIMPLE ssf=0
                                        Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=440 op=0 RESULT tag=97 err=0 text=
                                        Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=440 op=1 SRCH base="ou=persons,dc=meineDomain,dc=de" scope=2 deref=0 filter="(&(objectClass=inetOrgPerson)(mail=meineLDAPuser))"
                                        Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=440 op=1 SRCH attr=gidNumber objectClass givenName sn mail mail
                                        Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=440 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
                                        Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=440 op=2 UNBIND
                                        Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=440 fd=35 closed
                                        Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=441 fd=35 ACCEPT from IP=127.0.0.1:40019 (IP=0.0.0.0:389)
                                        Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=441 op=0 BIND dn="cn=meinLDAPserver,ou=hosts,dc=meineDomain,dc=de" method=128
                                        Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=441 op=0 BIND dn="cn=meinLDAPserver,ou=hosts,dc=meineDomain,dc=de" mech=SIMPLE ssf=0
                                        Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=441 op=0 RESULT tag=97 err=0 text=
                                        Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=441 op=1 SRCH base="ou=persons,dc=meineDomain,dc=de" scope=2 deref=0 filter="(&(objectClass=inetOrgPerson)(mail=meineLDAPuser))"
                                        Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=441 op=1 SRCH attr=gidNumber objectClass givenName sn mail mail
                                        Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=441 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
                                        Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=441 op=2 UNBIND
                                        Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=441 fd=35 closed
                                        
                                        

                                        EDIT 2:
                                        Ich habe das LDAP-Debug entdeckt und eingeschaltet. Die Meldungen dort lauten entsprechend denen im LDAP-Log selbst, allerdings kommt nach dem Fund gleich im Anschluß ein "** Auth failed. Success". Mir ist nicht klar, warum das auftaucht, wenn doch direkt zuvor der Eintrag im LDAP gefunden wurde. Das Passwort ist selbstverständlich korrekt, und ich habe es auch testweise mit anderen gültigen Benutzerdaten versucht. Im übrigen klingt "** Auth failed. Success" für mich nach einem Widerspruch. Ist es nun fehlgeschlagen, oder war es erfolgreich? Hier das ldap_debug.txt:

                                        
                                        2009-04-17 18:33:55 ldap: Creating new ldap-library connection to: meinLDAPserver:389, user: CN=meinLDAPserver,OU=hosts,DC=meineDomain,DC=de
                                        2009-04-17 18:33:55 ldap: Connected to meinLDAPserver
                                        2009-04-17 18:33:55 ldap: Searching for username: meinLDAPuser
                                        2009-04-17 18:33:55 ldap: Using filter: (&(objectClass=inetOrgPerson)(uid=meinLDAPuser)) in search-path: OU=persons,DC=meineDomain,DC=de
                                        2009-04-17 18:33:55 ldap: Found DN: cn=KlarnameMeinesLDAPusers,ou=persons,dc=meineDomain,dc=de
                                        2009-04-17 18:33:55 ldap: ** Auth failed. Success
                                        2009-04-17 18:33:55 ldap: *** Unexpected result received from ldap_login() in isys_component_session.
                                        2009-04-17 18:33:55 ldap: *** false
                                        2009-04-17 18:33:55 ldap: Creating new ldap-library connection to: meinLDAPserver:389, user: CN=meinLDAPserver,OU=hosts,DC=meineDomain,DC=de
                                        2009-04-17 18:33:55 ldap: Connected to meinLDAPserver
                                        2009-04-17 18:33:55 ldap: Searching for username: meinLDAPuser
                                        2009-04-17 18:33:55 ldap: Using filter: (&(objectClass=inetOrgPerson)(uid=meinLDAPuser)) in search-path: OU=persons,DC=meineDomain,DC=de
                                        2009-04-17 18:33:55 ldap: Found DN: cn=KlarnameMeinesLDAPusers,ou=persons,dc=meineDomain,dc=de
                                        2009-04-17 18:33:55 ldap: ** Auth failed. Success
                                        2009-04-17 18:33:55 ldap: *** Unexpected result received from ldap_login() in isys_component_session.
                                        2009-04-17 18:33:55 ldap: *** false
                                        
                                        
                                        1 Reply Last reply Reply Quote 0
                                        • dsD Offline
                                          ds
                                          last edited by

                                          Hi,
                                          erstmal zu deinen Anmerkungen:

                                          • Der Bind wird abgebaut sobalt das Script beendet wurde, das ist also normal
                                          • Das mit dem Baum ist ein bekanntest Problem der 0.9.6-1, was in der kommenden Version behoben sein wird

                                          zum Problem:
                                          bekommst du über einen LDAP-Browser unter dieser Such Anfrage deinen User geliefert:

                                          SRCH base="ou=persons,dc=meineDomain,dc=de" scope=2 deref=0 filter="(&(objectClass=inetOrgPerson)(uid=meinLDAPuser))"

                                          ?

                                          1 Reply Last reply Reply Quote 0
                                          • R Offline
                                            rgarcia
                                            last edited by

                                            Hey also wollte nur mal mitteilen bei mir Funktioniert was LDAP in Version 0.9.7 anbetrifft alles 😄
                                            Einzigstes was ich etwas blöd finde ist das ich unter Kontakte - LDAP - x nicht die Kontake angezeigt bekomme die er sich aus dem LDAP gezogen hat.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post