LDAP Verbindungs und Suchfilter Problem



  • Hallo zusammen,
    ich habe ein Problem mit der Useranbindung an LDAP und bitte um ein paar Tips oder Hilfe.
    Die bereits existierenden Threads konnten mir nicht so recht weiterhelfen, wie dieser:
    http://forum.i-doit.org/index.php?topic=2563.0

    Zu erst ein paar Eckdaten des Systems:
    i-doit  0.9.9-7 mit MySQL 5.0.23, Apache2 (2.2.3-4), openLDAP 2.3.30-5 auf debain etch (4.0r8 64bit)

    Serverconfig und Mappings Screenshots sind im Anhang.

    Ich habe halt das Problem das er sagt LDAP Connection erfolgreich, aber keine Einträge gefunden.
    Wenn ich dann mit einem LDAP user den Login versuche, bekomme ich den Fehler "Invalid username or password"
    Das ldap_debug.txt gibt das aus:

    –-------------------------------------------------
    2011-11-22 10:42:15 ldap: LDAP Module launched for mandator: idoit_data
    2011-11-22 10:42:15 ldap: Found 1 configured LDAP Servers.
    2011-11-22 10:42:15 ldap: 1: 127.0.0.1 (ou=people,dc=my,dc=domain,dc=de)
    2011-11-22 10:42:15 ldap: ----------------------------------------------------------------------------------------------
    2011-11-22 10:42:15 ldap: Creating new ldap-library connection to: 127.0.0.1:389, user: cn=admin,dc=my,dc=domain,dc=de
    2011-11-22 10:42:15 ldap: Connected to 127.0.0.1
    2011-11-22 10:42:15 ldap: Searching for username: mmertes
    2011-11-22 10:42:15 ldap: Getting user(s) using filter: (&(&(objectClass=)(uid=mmertes)) in search-path: ou=people,dc=my,dc=domain,dc=de
    2011-11-22 10:42:15 ldap: ** No user found.
    2011-11-22 10:42:15 ldap: User not found. Check if mmertes exist in your configured search-path: ou=people,dc=my,dc=domain,dc=de
    2011-11-22 10:42:15 ldap: ----------------------------------------------------------------------------------------------
    2011-11-22 10:42:15 ldap: *** LDAP Auth failed. (false)

    Der Suchpfad mit uid=mmertes und ou=people... ist richtig, ich frage mich warum er nichts findet.
    Hat jemand erfahrung mit openLDAP und dem i-doit mapping? Ggf habe ich auch da - oder in der Serverkonfig ein paar Fehler.
    Auto Group mapping habe ich nicht konfiguriert.

    Für Tips und Hinweise wäre ich dankbar.

    Grüße Marc

    idoit-ldapserver.png
    idoit-mappings.png



  • Im openldap logfile ist nichts zu sehen? Schade dass du den openldap server auf localhost laufen hast. Sonst könnte man mal in ein netzwerk trace schauen. Hast du evtl. die Möglichkeit einen entfernten LDAP Server zu verwenden?

    Kann es sein, dass der Filter falsch in der Datenbank steht (war bei mir der Fall) als ich ihn über das normale UI konfiguriert hatte, hatte ich auch probleme damit. Ich hab ihn dann direkt in die Datenbank geschrieben: schau mal in die Tabelle "isys_ldap" in die Spalte "isys_ldap__filter" und prüf mal ob dort steht:

    (objectClass=*)

    bzw. ob der wert in:

    "isys_ldap__user_search "

    mit deiner suchmaske übereinstimmt?



  • Hi Cyberus,
    danke erst einmal für deine Antwort.
    Ich habe mal in der MysqlDB nachgeschaut und da sind die Felder leer, siehe Screenshots.
    Habe draufhin noch mal alle Mappings gelöscht, Server gelöscht und neu angelegt - die Felder bleiben leer.

    Hier mal ein Auszug mit ldapsearch -x -LLL uid=mmertes:

    dn: uid=mmertes,ou=People,dc=my,dc=domain,dc=de
    uid: mmertes
    cn: Marc Mertes
    objectClass: posixAccount
    objectClass: inetOrgPerson                                                                                                           
    objectClass: organizationalPerson                                                                                                     
    objectClass: person                                                                                                                   
    objectClass: sambaSamAccount                                                                                                         
    loginShell: /bin/bash                                                                                                                 
    uidNumber: 589                                                                                                                       
    gidNumber: 100                                                                                                                       
    homeDirectory: /user/mmertes                                                                                                         
    gecos: Marc Mertes                                                                                                                   
    sn: Mertes                                                                                                                           
    givenName: Marc
    displayName: Marc Mertes

    Habe ich denn die mappings richtig gemacht oder ist auch da ein Fehler drin?

    Hast du denn noch eine Idee wieso meine DB Felder leer sind?
    Könnte da ja manuell die Sachen eintragen, nur wie müsste das dann aussehen?
    Grüße Marc

    P.S hier noch ein Auszug aus dem slapd.log:
    Nov 24 09:02:51 sv23 slapd[1962]: conn=0 op=9 SEARCH RESULT tag=101 err=0 nentries=0 text=
    Nov 24 09:03:17 sv23 slapd[1962]: conn=3 fd=18 ACCEPT from IP=127.0.0.1:48698 (IP=127.0.0.1:389)
    Nov 24 09:03:17 sv23 slapd[1962]: conn=3 op=0 BIND dn="cn=admin,dc=my,dc=domain,dc=de" method=128
    Nov 24 09:03:17 sv23 slapd[1962]: conn=3 op=0 BIND dn="cn=admin,dc=my,dc=domain,dc=de" mech=SIMPLE ssf=0
    Nov 24 09:03:17 sv23 slapd[1962]: conn=3 op=0 RESULT tag=97 err=0 text=
    Nov 24 09:03:17 sv23 slapd[1962]: conn=3 op=1 UNBIND
    Nov 24 09:03:17 sv23 slapd[1962]: conn=3 fd=18 closed

    Mehr kommt nicht bei einem Versuch sich mit einem LDAP user bei idoit einzuloggen

    idoit-mysql1.png
    idoit-mysql2.png



  • Die mappings für openldap habe ich auch noch nicht konfiguriert, aber nach deinem ldapsearch auszug zu schließen müsste das ja hin hauen.

    deine Screenshots zeigen nur das Datenbankschema der ldap tabellen, nicht den Inhalt. Da musst du mal auf den "Browse" Reiter klicken. Ich denke mal dort wird dann was drin stehen.

    Dein Logfile bestätigt aber meine Vermutung, dass du auf das Gleiche Problem läufst wie ich in dem thread hier:
    http://forum.i-doit.org/index.php?topic=2563.0

    i-doit scheint sich am ldap anzumelden und die Verbindung ohne einer Suchanfrage wieder zu schließen. Ich meine, dass es bei mir an dem mapping lag. Zusätzlich hab ich aber eben den Filter auch händisch in der Datenbank konfiguriert (also "(objectClass=*)"  in isys_ldap__filter geschrieben).



  • Hoppla,
    entschuldige, du hattest natürlich recht, der Eintrag ist drin.
    Bin wohl doch noch nicht ganz wach 😉

    Habe mir den Thread auch schon vorher einmal angeschaut und du könntest recht haben, das scheint bei mir das gleiche Problem zu sein.
    Wo wir wieder beim mapping Thema wären, der Thread ist ja für ADS - nun ist die Frage was die richtigen mappings für openLDAP sind.
    Ich probiere einfach ein bisschen rum.

    Grüße Marc


 


Datenschutz / Privacy Policy