I-DOIT mit LDAP anmeldung an ADS 2003/2008
-
hallo leute,
habe schon vieles zu diesem LDAP thema hier im forum gelesen - leider brachte mich keiner der tipps ans zielÂ
hier die ausgangslage:
-ADS mit 2003/2008 (ca. 600 users)
-die CN der user lautet "Nachname" "Vorname"
-sAMAccountName ist nach ländern aufgegliedert, z.b. fßr die schweiz CH + ein kurzeichen bestehend aus namen (e.g. chmuster)-1x I-DOIT 0.9.9-7
-LDAP directories sind erstellt wie im handbuch und im forum beschrieben
-LDAP server ist konfiguriert wie im forum beschrieben (inkl. DB check)die testabfrage der server config ergibt, dass in der gesuchten OU mehr als 50 treffer sind - wenn ich die suche sogar noch nach dem SAMACCOUNTNAME einschränke und hier nur nach "chmuster" suche ergibt es 1 trefferâŚ
hier kann mann also davon ausgehen, dass die abfrage ins AD funktioniert und auch die korrekten antworten liefert.
beim loginversuch in i-doit das Ăźbliche "Invalid username or password!"der ldap log schreibt folgendes:
----snip----
2011-11-28 10:57:16 ldap: LDAP Module launched for mandator: idoit_data
2011-11-28 10:57:16 ldap: Found 1 configured LDAP Servers.
2011-11-28 10:57:16 ldap: 1: 10.141.20.11 (OU=UsersHQ,OU=Users,OU=MAB,DC=ads,DC=mathysmedical,DC=com)
2011-11-28 10:57:16 ldap: ----------------------------------------------------------------------------------------------
2011-11-28 10:57:16 ldap: Creating new ldap-library connection to: 10.141.20.11:389, user: mltdb\barracuda
2011-11-28 10:57:16 ldap: Connected to 10.141.20.11
2011-11-28 10:57:16 ldap: Searching for username: chmuster
2011-11-28 10:57:16 ldap: Getting user(s) using filter: (&(&(objectClass=*)(sAMAccountName=chmuster)) in search-path: OU=UsersHQ,OU=Users,OU=MAB,DC=ads,DC=mathysmedical,DC=com
2011-11-28 10:57:16 ldap: ** No user found.
2011-11-28 10:57:16 ldap: User not found. Check if chmuster exist in your configured search-path: OU=UsersHQ,OU=Users,OU=MAB,DC=ads,DC=mathysmedical,DC=com
2011-11-28 10:57:16 ldap: ----------------------------------------------------------------------------------------------
2011-11-28 10:57:16 ldap: *** LDAP Auth failed. (false)
----snip----aus dem log ergibt sich klar die aussage, dass der user nicht gefunden wurde - dies ist so aber nicht korrekt - kann doch mit einer erweitern suche genau dieser chmuster gefunden werden (1 object found)
ziel meiner installation wäre es so oder so alle AD user ins i-doit zu importieren - der versuch dies ßber ein csv zu machen ist leider auch gescheitert, da dies wohl so nicht vorgesehen ist...
hat da einer von euch noch eine ideee?
so langsam entwickelt sich dieses LDAP problem zu einem "show stopper"gruss und sonnigen tag....
-
Hast mal mit wireshark zwischen i-doit und ldap server ein trace gemacht und nachgesehen, ob deine suchanfrage beim login wie erwartet raus geht?
-
hallo cyberus,
nein habe ich "noch" nicht.kann ich nicht davon ausgehen, dass die software dies korrekt macht?
-
Bei mir hatte ich in der aktuellen version Probleme mit der Dateneingabemaske fĂźr die LDAP konfiguration und dem LDAP Mapping (hier: http://forum.i-doit.org/index.php/topic,2563.0.html)
jedenfalls hatte ich auch die Meldung:
"ldap: ** No user found."aber eine suche wurde garnicht erst abgesetzt (wireshark: bind request, unbind request - sonst nichts).
hast du die LDAP mappings wie in dem thread oben beschrieben konfiguriert? hast du in der Datenbank mal nachgesehen, ob der Filter string korrekt drin steht?
-
dein post hat mir als "vorlage" fĂźr die analyse gedientâŚ
AD mappings sind identisch
eintrag in der DB ist auch korrekt...bin gerade am installieren von wireshark um mal zu schauen ob es bei mir traffic gibt.....
-
wohl wie bei dirâŚ.
-
schau mal in die Tabelle "isys_ldap" in die Spalte "isys_ldap__filter". Steht dort:
(objectClass=*)oder steht dort:
(objectClass=)
-
hallo cyberus,
ja der eintrag in der DB ist korrektâŚ.(&(objectClass=*))
-
mh, keine Ahnung ob es daran liegt. Aber bei mir steht tatsächlich "(objectClass=*)" drin (also ohne der äuĂeren klammer und dem &)
wobei mein LDAP Browser auch mit "(&(objectClass=*))" klar kommt.