I-DOIT mit LDAP anmeldung an ADS 2003/2008



  • hallo leute,
    habe schon vieles zu diesem LDAP thema hier im forum gelesen - leider brachte mich keiner der tipps ans ziel  😞

    hier die ausgangslage:

    -ADS mit 2003/2008 (ca. 600 users)
    -die CN der user lautet "Nachname" "Vorname"
    -sAMAccountName ist nach ländern aufgegliedert, z.b. für die schweiz CH + ein kurzeichen bestehend aus namen (e.g. chmuster)

    -1x I-DOIT 0.9.9-7
    -LDAP directories sind erstellt wie im handbuch und im forum beschrieben
    -LDAP server ist konfiguriert wie im forum beschrieben (inkl. DB check)

    die testabfrage der server config ergibt, dass in der gesuchten OU mehr als 50 treffer sind - wenn ich die suche sogar noch nach dem SAMACCOUNTNAME einschränke und hier nur nach "chmuster" suche ergibt es 1 treffer…

    hier kann mann also davon ausgehen, dass die abfrage ins AD funktioniert und auch die korrekten antworten liefert.
    beim loginversuch in i-doit das übliche "Invalid username or password!"

    der ldap log schreibt folgendes:

    ----snip----
    2011-11-28 10:57:16 ldap: LDAP Module launched for mandator: idoit_data
    2011-11-28 10:57:16 ldap: Found 1 configured LDAP Servers.
    2011-11-28 10:57:16 ldap: 1: 10.141.20.11 (OU=UsersHQ,OU=Users,OU=MAB,DC=ads,DC=mathysmedical,DC=com)
    2011-11-28 10:57:16 ldap: ----------------------------------------------------------------------------------------------
    2011-11-28 10:57:16 ldap: Creating new ldap-library connection to: 10.141.20.11:389, user: mltdb\barracuda
    2011-11-28 10:57:16 ldap: Connected to 10.141.20.11
    2011-11-28 10:57:16 ldap: Searching for username: chmuster
    2011-11-28 10:57:16 ldap: Getting user(s) using filter: (&(&(objectClass=*)(sAMAccountName=chmuster)) in search-path: OU=UsersHQ,OU=Users,OU=MAB,DC=ads,DC=mathysmedical,DC=com
    2011-11-28 10:57:16 ldap: ** No user found.
    2011-11-28 10:57:16 ldap: User not found. Check if chmuster exist in your configured search-path: OU=UsersHQ,OU=Users,OU=MAB,DC=ads,DC=mathysmedical,DC=com
    2011-11-28 10:57:16 ldap: ----------------------------------------------------------------------------------------------
    2011-11-28 10:57:16 ldap: *** LDAP Auth failed. (false)
    ----snip----

    aus dem log ergibt sich klar die aussage, dass der user nicht gefunden wurde - dies ist so aber nicht korrekt - kann doch mit einer erweitern suche genau dieser chmuster gefunden werden (1 object found)

    ziel meiner installation wäre es so oder so alle AD user ins i-doit zu importieren - der versuch dies über ein csv zu machen ist leider auch gescheitert, da dies wohl so nicht vorgesehen ist...

    hat da einer von euch noch eine ideee?
    so langsam entwickelt sich dieses LDAP problem zu einem "show stopper" 😞

    gruss und sonnigen tag....



  • Hast mal mit wireshark zwischen i-doit und ldap server ein trace gemacht und nachgesehen, ob deine suchanfrage beim login wie erwartet raus geht?



  • hallo cyberus,
    nein habe ich "noch" nicht.

    kann ich nicht davon ausgehen, dass die software dies korrekt macht?



  • Bei mir hatte ich in der aktuellen version Probleme mit der Dateneingabemaske für die LDAP konfiguration und dem LDAP Mapping (hier: http://forum.i-doit.org/index.php/topic,2563.0.html)

    jedenfalls hatte ich auch die Meldung:
    "ldap: ** No user found."

    aber eine suche wurde garnicht erst abgesetzt (wireshark: bind request, unbind request - sonst nichts).

    hast du die LDAP mappings wie in dem thread oben beschrieben konfiguriert? hast du in der Datenbank mal nachgesehen, ob der Filter string korrekt drin steht?



  • dein post hat mir als "vorlage" für die analyse gedient…

    AD mappings sind identisch
    eintrag in der DB ist auch korrekt...

    bin gerade am installieren von wireshark um mal zu schauen ob es bei mir traffic gibt.....



  • wohl wie bei dir….

    ldap.PNG



  • schau mal in die Tabelle "isys_ldap" in die Spalte "isys_ldap__filter". Steht dort:
    (objectClass=*)

    oder steht dort:

    (objectClass=)



  • hallo cyberus,

    ja der eintrag in der DB ist korrekt….(&(objectClass=*))



  • mh, keine Ahnung ob es daran liegt. Aber bei mir steht tatsächlich "(objectClass=*)" drin (also ohne der äußeren klammer und dem &)

    wobei mein LDAP Browser auch mit "(&(objectClass=*))" klar kommt.


 


Datenschutz / Privacy Policy