Community
    • Categories
    • Recent
    • Popular
    • Users
    • Search
    • Register
    • Login

    LDAP Anmeldung

    Scheduled Pinned Locked Moved Betrieb
    52 Posts 10 Posters 22.5k Views 1 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M Offline
      mg
      last edited by

      Hallo,
        habe jetzt auch den Update auf idoit 3889 gemacht.
      LDAP-Anmeldung funktioniert nach wie vor nicht. Beim Anmelden eines Benutzers (den es in den lokalen Kontakten von i-doit nicht gibt) kommt die Fehlermeldung: Invalid username or password!
      Ist die LDAP-Konfiguration aktiv, kann ich in den Kontakten keine neuen Benutzer mehr anlegen.

      Was machen wir denn falsch …???

      Gruß mg

      1 Reply Last reply Reply Quote 0
      • dsD Offline
        ds
        last edited by

        @DerMarkus:
        In der aktuellen Version ist es so, dass du ein AD-Pendant zu den i-doit Rechtegruppen brauchst. Dieses setzt du im i-doit in der Detailansicht der entsprechenden Gruppe (z.B. Admin). Wenn du dort dann den Namen deiner AD Gruppe einträgst und sich der User, welcher sich anmeldet in der AD-Gruppe befindet bekommt er im i-doit die Admin Gruppe zugewiesen

        1 Reply Last reply Reply Quote 0
        • D Offline
          DerMarkus
          last edited by

          Jup

          Aber irgendwie ist folgendes:

          1. Wenn ich im LDAP-Menü die OU eintrage, wo sich die Gruppen befinden, bekomme ich beim Anmelden: Invalid Username or Password. (da verwend ich aber (objectClass=group))
          2. Wenn ich im LDAP-Menü die OU eintrage, wo sich die User befinden, bekomme ich beim Anmelden: Dass ich mindestens Lese-Rechte benötige. ((objectClass=user))

          Ein Eintrag wo ich statt der OU, direkt eine Gruppe (CN=Administrator,….. etc und (objectClass=user)) geht ja nicht, da kommt No object found. That means that no one will be able to login with the current setup. Check your filter and search-dn.

          Bei Nr.1 weiß ich nicht was ich dann noch machen könnte.
          Bei Nr.2 ist es dann so, dass ich dann keine Gruppe habe die ich dann als AD-Pendant eintragen könnte, da sich in der OU ja nur User befinden. Wenn ich die Gruppe eingebe gehts nicht. Ausserdem stürzt der Internet Explorer immer ab wenn ich bei Gruppen auf Admin auf editieren klicke (Version: 3880)

          Wie muss ich denn die Einträge da im LDAP MEnü machen, die OU wo die User drinnen sind oder wo die Gruppen drinnen sind?
          Hoffe das ist verständlich ausgedrückt?

          1 Reply Last reply Reply Quote 0
          • dsD Offline
            ds
            last edited by

            Im LDAP Menü musst du die OU angeben wodrin sich deine User befinden (Wie die Beschreibung schon sagt: "Nach Benutzern suchen in (OU) (*):") !

            Das LDAP-Gruppen Pendant trägst du hier ein: Kontakte -> Gruppen -> admin -> Ldap-Gruppe (Mapping)

            1 Reply Last reply Reply Quote 0
            • S Offline
              Schnitzelfisch
              last edited by

              Ich habe heute die 0.9.6-1 eignespielt und es wieder versucht, doch das Ergebnis unterscheidet sich praktisch nicht von meinem ersten. Ich poste es trotzdem, vielleicht fällt jemand etwas ein:

              
Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 fd=39 ACCEPT from IP=127.0.0.1:59391 (IP=0.0.0.0:389)
Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=0 BIND dn="cn=meinLDAPserver,ou=hosts,dc=meineDomain,dc=de" method=128
Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=0 BIND dn="cn=meinLDAPserver,ou=hosts,dc=meineDomain,dc=de" mech=SIMPLE ssf=0
Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=0 RESULT tag=97 err=0 text=
Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=1 SRCH base="ou=persons,dc=meineDomain,dc=de" scope=2 deref=0 filter="(&(objectClass=inetOrgPerson)(uid=meinLDAPuser))"
Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=1 SRCH attr=gidNumber objectClass givenName sn mail uid
Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=2 SRCH base="ou=persons,dc=meineDomain,dc=de" scope=1 deref=0 filter="(cn=cn=KlarnameMeinesLDAPusers,ou=persons,dc=meineDomain,dc=de)"
Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=2 SRCH attr=cn
Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=3 UNBIND
Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text=
Apr 17 16:13:43 meinLDAPserver slapd[20001]: conn=387 fd=39 closed
Apr 17 16:13:57 meinLDAPserver slapd[20001]: conn=384 fd=29 closed (connection lost)
Apr 17 16:15:32 meinLDAPserver ntpd[20947]: time reset -948.602016 s

              Es fällt auf, daß zunächst an das LDAP gebunden wird, dann nach dem Suchen diese Bindung aber wieder gelöst wird. Welche Ursache kann das haben?
              Außerdem fällt auf, daß in der Konfiguration unter "Kontakte" der Verzeichnisbaum "LDAP" sich zwar aufklappen läßt, worunter dann ein einziges Blatt erscheint. Wenn ich auf dieses Blatt klicke, klappt dort der Baum jedoch zu, und die Markierung springt zum Eintrag intern/Gruppen/Nagios. Mag sein, daß es mit dem Problem etwas zu tun hat, darum erwähne ich das.

              EDIT:
              In den Attribute-Mappings habe ich testweise das Fed "Username" von "uid" auf "mail" gesetzt, weil ich wissen wollte, ob i-doit damit mehr Erfolg hat. Das führt bei den Anfragen aber nur dazu, daß das Feld "mail" zweimal übertragen wird. Ich bekomme dann auch immer zwei Anfragen an LDAP, wonach i-doit offenbar immer mit zwei Methoden die Authentifizierung versucht:

              
Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=440 fd=35 ACCEPT from IP=127.0.0.1:40017 (IP=0.0.0.0:389)
Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=440 op=0 BIND dn="cn=meinLDAPserver,ou=hosts,dc=meineDomain,dc=de" method=128
Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=440 op=0 BIND dn="cn=meinLDAPserver,ou=hosts,dc=meineDomain,dc=de" mech=SIMPLE ssf=0
Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=440 op=0 RESULT tag=97 err=0 text=
Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=440 op=1 SRCH base="ou=persons,dc=meineDomain,dc=de" scope=2 deref=0 filter="(&(objectClass=inetOrgPerson)(mail=meineLDAPuser))"
Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=440 op=1 SRCH attr=gidNumber objectClass givenName sn mail mail
Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=440 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=440 op=2 UNBIND
Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=440 fd=35 closed
Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=441 fd=35 ACCEPT from IP=127.0.0.1:40019 (IP=0.0.0.0:389)
Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=441 op=0 BIND dn="cn=meinLDAPserver,ou=hosts,dc=meineDomain,dc=de" method=128
Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=441 op=0 BIND dn="cn=meinLDAPserver,ou=hosts,dc=meineDomain,dc=de" mech=SIMPLE ssf=0
Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=441 op=0 RESULT tag=97 err=0 text=
Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=441 op=1 SRCH base="ou=persons,dc=meineDomain,dc=de" scope=2 deref=0 filter="(&(objectClass=inetOrgPerson)(mail=meineLDAPuser))"
Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=441 op=1 SRCH attr=gidNumber objectClass givenName sn mail mail
Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=441 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=441 op=2 UNBIND
Apr 17 16:57:25 meinLDAPserver slapd[20001]: conn=441 fd=35 closed

              EDIT 2:
              Ich habe das LDAP-Debug entdeckt und eingeschaltet. Die Meldungen dort lauten entsprechend denen im LDAP-Log selbst, allerdings kommt nach dem Fund gleich im Anschluß ein "** Auth failed. Success". Mir ist nicht klar, warum das auftaucht, wenn doch direkt zuvor der Eintrag im LDAP gefunden wurde. Das Passwort ist selbstverständlich korrekt, und ich habe es auch testweise mit anderen gültigen Benutzerdaten versucht. Im übrigen klingt "** Auth failed. Success" für mich nach einem Widerspruch. Ist es nun fehlgeschlagen, oder war es erfolgreich? Hier das ldap_debug.txt:

              
2009-04-17 18:33:55 ldap: Creating new ldap-library connection to: meinLDAPserver:389, user: CN=meinLDAPserver,OU=hosts,DC=meineDomain,DC=de
2009-04-17 18:33:55 ldap: Connected to meinLDAPserver
2009-04-17 18:33:55 ldap: Searching for username: meinLDAPuser
2009-04-17 18:33:55 ldap: Using filter: (&(objectClass=inetOrgPerson)(uid=meinLDAPuser)) in search-path: OU=persons,DC=meineDomain,DC=de
2009-04-17 18:33:55 ldap: Found DN: cn=KlarnameMeinesLDAPusers,ou=persons,dc=meineDomain,dc=de
2009-04-17 18:33:55 ldap: ** Auth failed. Success
2009-04-17 18:33:55 ldap: *** Unexpected result received from ldap_login() in isys_component_session.
2009-04-17 18:33:55 ldap: *** false
2009-04-17 18:33:55 ldap: Creating new ldap-library connection to: meinLDAPserver:389, user: CN=meinLDAPserver,OU=hosts,DC=meineDomain,DC=de
2009-04-17 18:33:55 ldap: Connected to meinLDAPserver
2009-04-17 18:33:55 ldap: Searching for username: meinLDAPuser
2009-04-17 18:33:55 ldap: Using filter: (&(objectClass=inetOrgPerson)(uid=meinLDAPuser)) in search-path: OU=persons,DC=meineDomain,DC=de
2009-04-17 18:33:55 ldap: Found DN: cn=KlarnameMeinesLDAPusers,ou=persons,dc=meineDomain,dc=de
2009-04-17 18:33:55 ldap: ** Auth failed. Success
2009-04-17 18:33:55 ldap: *** Unexpected result received from ldap_login() in isys_component_session.
2009-04-17 18:33:55 ldap: *** false
              1 Reply Last reply Reply Quote 0
              • dsD Offline
                ds
                last edited by

                Hi,
                erstmal zu deinen Anmerkungen:

                • Der Bind wird abgebaut sobalt das Script beendet wurde, das ist also normal
                • Das mit dem Baum ist ein bekanntest Problem der 0.9.6-1, was in der kommenden Version behoben sein wird

                zum Problem:
                bekommst du über einen LDAP-Browser unter dieser Such Anfrage deinen User geliefert:

                SRCH base="ou=persons,dc=meineDomain,dc=de" scope=2 deref=0 filter="(&(objectClass=inetOrgPerson)(uid=meinLDAPuser))"

                ?

                1 Reply Last reply Reply Quote 0
                • R Offline
                  rgarcia
                  last edited by

                  Hey also wollte nur mal mitteilen bei mir Funktioniert was LDAP in Version 0.9.7 anbetrifft alles 😄
                  Einzigstes was ich etwas blöd finde ist das ich unter Kontakte - LDAP - x nicht die Kontake angezeigt bekomme die er sich aus dem LDAP gezogen hat.

                  1 Reply Last reply Reply Quote 0
                  • R Offline
                    rgarcia
                    last edited by

                    Also nochmal ein kurzes Feedback:

                    Was mir aufgefallen ist, ist das idoit die User aus dem LDAP irgendwie nicht von selbst synchronisiert.
                    Die User tauchen erst in der Kontakt Liste auf wenn ich mich versuche als bsp. User3 anzumelden.
                    Dann jedoch bekomme ich eine Fehlermeldung das ich keine Leserechte hätte und ich diese erst erhalten müsste…
                    Logge ich mich danach wieder als Admin ein wird User3 in der Konaktliste aufgeführt und ich kann ihn der richtigen Gruppe zuweisen.

                    1 Reply Last reply Reply Quote 0
                    • dsD Offline
                      ds
                      last edited by

                      Die User werden als interne Kontakte angelegt, sobald sie sich einmal angemeldet haben (Damit verknüpfungen innerhalb der Objekte mit den Usern möglich sind). Hast du das LDAP Gruppen Mapping unter Kontakte -> Gruppen gemacht?

                      Bzgl der LDAP anzeige unter Kontakte: Das kommt noch, ist nur noch nicht implementiert 🙂

                      1 Reply Last reply Reply Quote 0
                      • R Offline
                        rgarcia
                        last edited by

                        jo ehm was genau soll ich den da eingeben ?
                        nur den Gruppennamen also "idoit" ?

                        Gibt es eine Möglichkeit das alles Kontakte aus dem LDAP mit idoit synchronisiert werden ohne das ich der user vorher anmelden muss… ist nämlich nicht geplant bei uns das der User sich dort anmelden soll.

                        1 Reply Last reply Reply Quote 0
                        • dsD Offline
                          ds
                          last edited by

                          Einen Sync gibt es noch nicht. Wird auch demnächst kommen.

                          Dort muss der Gruppenname im AD rein. Also angenommen rgarcia ist im AD in Gruppe IT_Admins, muss im i-doit bei der Gruppe "admin" IT_Admins rein

                          1 Reply Last reply Reply Quote 0
                          • R Offline
                            rgarcia
                            last edited by

                            habe ich eben probiert aber irgendwie funzt das nicht, habe die gruppe idoit bei editors eingepflegt. Beim Login versuch bekomme ich leider noch immer den Hinweis das ich zu wenig Rechte hätte.

                            1 Reply Last reply Reply Quote 0
                            • dsD Offline
                              ds
                              last edited by

                              Du musst den User löschen vor dem Login die Gruppen werden nicht synchronisiert (sync kommt noch)

                              1 Reply Last reply Reply Quote 0
                              • R Offline
                                rgarcia
                                last edited by

                                Das habe ich jetzt leider nicht ganz verstanden.

                                Also ich soll den User der aus dem LDAP user erstellt worden ist löschen so und was soll ich mit der gruppe machen??

                                1 Reply Last reply Reply Quote 0
                                • T Offline
                                  tesso
                                  last edited by

                                  Bei mir funktioniert die LDAP-Anmeldung auch noch nicht.
                                  Debug sagt folgendes:

                                  2009-05-30 10:54:02 ldap: Testing connection to 192.168.200.2:389 (CN=Administrator,cn=Users,DC=ek17,DC=local)
2009-05-30 10:54:02 ldap: Connected to 192.168.200.2
2009-05-30 10:54:02 ldap: Connection successfull.
2009-05-30 10:54:02 ldap: Found 16 object(s) in OU=SBSUsers,OU=Users,OU=MyBusiness,DC=ek17,DC=local.
2009-05-30 10:54:26 ldap: Creating new ldap-library connection to: 192.168.200.2:389, user: CN=Administrator,cn=Users,DC=ek17,DC=local
2009-05-30 10:54:26 ldap: Connection failed. (Invalid credentials)
                                  1 Reply Last reply Reply Quote 0
                                  • dsD Offline
                                    ds
                                    last edited by

                                    Invalid credentials = Passwort falsch eingegeben

                                    1 Reply Last reply Reply Quote 0
                                    • T Offline
                                      tesso
                                      last edited by

                                      Das Passwort ist definitv richtig eingegeben, aber es enthält Sonderzeichen. Kann es sein, daß bestimmte Sonderzeichen einen Fehler auslösen? Das Passwort enthält ein "&"

                                      1 Reply Last reply Reply Quote 0
                                      • dsD Offline
                                        ds
                                        last edited by

                                        Tatsächlich, ein Login mit Sonderzeichen ist allgemein nicht möglich. Wir werden uns drum kümmern
                                        Danke für den Hinweis

                                        1 Reply Last reply Reply Quote 0
                                        • M Offline
                                          mg
                                          last edited by

                                          Also,
                                            hier mal ein Versuch das Ganze zusammenzufassen, das Topic ist mittlerweile etwas unübersichtlich:

                                          1. LDAP-Aktivierung in den Modulen dürfte ja klar sein
                                          2. in Kontakte - intern - Gruppen bei den jeweiligen i-doit-Gruppen die entsprechende LDAP-Gruppe hinterlegen, z.B. bei der i-doit-Gruppe 'Admin' die AD-Gruppe 'idoit_admin' zuordnen (Feld: LDAP-Gruppe (Mapping))
                                          3. im AD den/die Benutzer in die eben hinterlegte(n) Gruppe(n) aufnehmen (bei meinen Tests lagen sowohl die Gruppe als auch der Benutzer in der selben OU im AD)
                                          4. mit dem im AD angelegten Benutzer in i-doit anmelden, die Benutzer sollten dann in den Kontakten sichtbar sein und automatisch der entsprechenden i-doit-Gruppe zugeordnet werden

                                          Genau Punkt 4 fkt. aber noch nicht komplett. Der Benutzer wird zwar angelegt, die Gruppenzuordnung muss aber nach wie vor (getestet mit Version 0.9.7) manuell erfolgen. Erst dann ist der Login möglich.

                                          Was stimmt nicht an der Vorgehensweise?

                                          Gruß
                                          Martin

                                          1 Reply Last reply Reply Quote 0
                                          • T Offline
                                            tesso
                                            last edited by

                                            Bei mir funktioniert es immer noch nicht.
                                            LDAP eingerichtet. LDAP Test ok
                                            Gruppenmapping eingerichtet

                                            Melde ich mich an (oder auch andere) kommt immer "Invalid username or password!"
                                            Im ldap-debug steht:```
                                            2009-06-17 14:05:49 ldap: Found DN: CN=Ralf Tessmann,OU=SBSUsers,OU=Users,OU=MyB
                                            usiness,DC=ek17,DC=local. Trying to login with it.
                                            2009-06-17 14:05:49 ldap: Auth successfull (CN=Ralf Tessmann,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=ek17,DC=local).

                                            
Es werden auch keine Benutzer angelegt, denen ich dann Rechte zuweisen könnte.
                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post