LDAP Anmeldung

Peer

Hallo zusammen.

Ich habe just meine i-doit Spielwiese auf die neueste Version gehoben.

Voller Vorfreude habe ich das ldap-Module konfiguriert
(Admin Benutzername (DN) ect und "Nach Benutzern suchen in (OU) )

Wenn ich dann auf "Start Test" klicke, werden alle im AD eingetragenen User gefunden.
(Connection OK! 20 Object(s) found in …)

Von daher hat i-doit ja die Verbindung und den Zugriff auf das AD.

Wenn ich mich nun mit meinem AD-User anmelden will, erscheint immer die Fehlermeldung
"Invalid username or password!"

Es scheint so, als ob das Login nicht den richtigen Pfad zu den Usern hat, bzw. mit der Anfrage nicht zurecht kommt.

Die php.ini habe ich num den Eintrag "extension=ldap.so" ergänzt.

Ich weiß an dieser Stelle nicht mehr weiter, wo ich noch ansetzen muss.

Vielen Dank für Eure Tipps.

Gruß pc-bronx

mg

Hallo,
  ist bei mir das selbe! Test ist OK, Anmeldung funktioniert aber nicht.

Gruß
mg

mg

Hallo,
  neues Jahr, neues Glück …? Also: beim heutigen Test hat es ohne Probleme funktioniert. An der Installation habe ich - zumindest bewusst - nichts geändert.

Gruß mg

Schnitzelfisch

Ich habe den gleichen Fehler, und es scheint am doppelt auftauchenden "cn=" zu liegen. Hier mal ein Auszug aus dem LDAP-Log:

Feb  2 13:01:38 meinLDAPserver slapd[2413]: conn=2670 fd=37 ACCEPT from IP=127.0.0.1:55781 (IP=0.0.0.0:389) 
Feb  2 13:01:38 meinLDAPserver slapd[2413]: conn=2670 op=0 BIND dn="cn=meinLDAPserver,ou=hosts,dc=meineDomain,dc=de" method=128 
Feb  2 13:01:38 meinLDAPserver slapd[2413]: conn=2670 op=0 BIND dn="cn=meinLDAPserver,ou=hosts,dc=meineDomain,dc=de" mech=SIMPLE ssf=0 
Feb  2 13:01:38 meinLDAPserver slapd[2413]: conn=2670 op=0 RESULT tag=97 err=0 text= 
Feb  2 13:01:38 meinLDAPserver slapd[2413]: conn=2670 op=1 SRCH base="ou=persons,dc=meineDomain,dc=de" scope=2 deref=0 filter="(&(objectClass=inetOrgPerson)(uid=meinLDAPuser))" 
Feb  2 13:01:38 meinLDAPserver slapd[2413]: conn=2670 op=1 SRCH attr=gidNumber objectClass givenName sn mail uid 
Feb  2 13:01:38 meinLDAPserver slapd[2413]: conn=2670 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text= 
Feb  2 13:01:38 meinLDAPserver slapd[2413]: conn=2670 op=2 SRCH base="ou=persons,dc=meineDomain,dc=de" scope=1 deref=0 filter="(cn=cn=KlarnameMeinesLDAPusers,ou=persons,dc=meineDomain,dc=de)" 
Feb  2 13:01:38 meinLDAPserver slapd[2413]: conn=2670 op=2 SRCH attr=cn 
Feb  2 13:01:38 meinLDAPserver slapd[2413]: conn=2670 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text= 
Feb  2 13:01:38 meinLDAPserver slapd[2413]: conn=2670 op=3 UNBIND 
Feb  2 13:01:38 meinLDAPserver slapd[2413]: conn=2670 fd=37 closed 
Feb  2 13:03:45 meinLDAPserver sshd[5632]: fatal: Read from socket failed: Connection reset by peer

Sieht das bei anderen ähnlich aus?

ds

Habt ihr die Anmeldung nochmal mit der aktuellsten SVN Version getestet?

mg

Hallo,
  ja. Geht bei mir momentan wieder nicht (Version 0.9.5 3815).
Siehe http://www.i-doit.org/forum/index.php/topic,893.0.html.

Gruß
mg

DerMarkus

Hallo, ich kenn nur eine Version (0.9.5)

Bei mir haut die LDAP-Anmeldung auch nicht hin.

• LDAP-Server wurde konfiguriert (Connection OK!)
• Gruppenfilter gesetzt (50 or more objects found in OU….), Userfilter funktioniert nicht, wollte ich nur testen

Bei Kontakte/intern/Gruppen/ bei Admin LDAP-Gruppe (Mapping): Den Gruppennamen reingeschrieben. (In der Mitte seh ich ein A4-Blatt mit nem Schlüsel, was auch immer der bedeutet)

Wenn ich das richig verstanden habe, sollte sich der User, welcher sich in der Gruppe befindet anmelden können und Admin sein (mit seinem Domänen-Anmeldenamen).
Wenn ich mich aber anmelde:

Username: Anmeldename
Passwort. .......

bekomme ich immer: Invalid username or password!

Kann mir wer sagen was ich falsch mache?

ds

In den LDAP-Mappings unter LDAP->Directories steht der sAMAccountName beim Username Feld drin?
Hast du die Möglichkeit bei dir auch ins LDAP-Log reinzuschauen?

DerMarkus

Ein Edit zum vorigen Eintrag.
Das mit der User Abfrage bei LDAP Parameter für User-Authentifizierung funktioniert doch.

Also bei die LDAP-Mappings bei Directories hab ich nichts konfiguriert:

Zitat aus dem Wiki:
Nach der Konfiguration Ihres LDAP Servers und erfogleichem Verbiondungs-Test können sich Benutzer aus der Konfigurierten OU in die i-doit Oberfläche einloggen. Der Benutzername fürs Active Directory ist in der Standardeinstellung der sAMAccountName, also der Windows Logon Name. Für Novell und OpenLDAP wird der CN als Benutzername verwendet. Sollte das dann nicht schon funktionieren?

Wir verwenden das Active Directory.

Wenn ich die LDAP-Mappings konfiguriere, löscht es mit immer meine Einträge wieder raus, trotz speichern.
so hab ichs gemacht:
Username: Domäne\Windows-Logon-Name (das ist dich der sAMAccountName oder?)
Groups: Geb ich z.B (lokal_admins) an.
Firstname: Was im AD bei Vorname steht
Lastname: Was im AD bei Nachname steht
Mail address: nix
Object class: den Eintrag von object class beim User aus dem AD-Explorer, weiß aber nicht ob das richtig ist.

Ich find irgendwie kein LDAP.log, könntest du mir vielleicht sagen wo ich die finde bzw. was ich da machen muss

Danke mal für die Antwort

ds

Bei den Mappings kommen nicht die Inhalte der AD-Felder, sondern die Namen der LDAP-Attribute rein. Versuch mal die Felder exakt so zu füllen wie das Beispiel im WIKI

-> http://doc.i-doit.org/wiki/LDAP#LDAP-Mappings

DerMarkus

Hab ich versucht, jetzt kommt nur noch Error

ds

Was fürn error? Username or password wrong?

ThinkFish

das problem hab ich auch.
nach eingabe des usernamen und passwort steht im roten fenster "i-doit system error: Error."
ausserdem verschwindet der anmeldeknopf unter username und passwort.
ich kann nur noch "back" im iexplorer gehen

wenn ich beispielsweise ein falsches passwort eingebe, bekomm ich die bekannte meldung
über invalid user or invalid password (eh klar …)

beim richtigen passwort passiert eben nur "Error."

lg
g

DerMarkus

Genau das bekomm ich auch "i-doit system error: Error"

ThinkFish

hallo!
hat schon jemand ne ahnung, was da los ist?
leider scheint in diesem thread nix weiterzugehen ….
lg
g

ds

Also ich hab das gerade nochmal bei mir getestet und alles funktioniert wunderbar.
Könnt ihr vielleicht einmal die aktuelle Revision (unstable) ausprobieren: http://dev.synetics.de/nb/idoit-3880.zip - Update auf i-doit v0.9.5.x SVN und LDAP Auswahl nicht vergessen

DerMarkus

Ich hab es wie im Wiki beschrieben gemacht.
Die Datein in den I-do-it Ordner extrahiert und habe danach Updates auf der Weboberfläche ausgewählt.
Dort wird aber nichts erkannt.

ds

Wo liegt denn dein i-doit Ordner? Wenn du die Windows Installation verwendest ist das nicht c:\programme\i-doit, sondern der htdocs Ordner vom Apache:
c:\programme\i-doit\apache\htdocs\

DerMarkus

Danke, das Update hat jetzt geklappt.

Nach dem Update wollte ich mich anmelden da kommt dann: Das ich mindestens Leserechte bräuchte.
Aber bei Kontakte sind die Gruppen verschwunden bzw. kann ich dann ein paar Menüs nicht mehr aufmachen.
Ansonsten sollte dann die Anmeldung aber möglich sein, weil anscheinend erkennt er jetzt meinen User nur sind dem keine Rechte zugewiesen.

mg

Hallo,
  habe jetzt auch den Update auf idoit 3889 gemacht.
LDAP-Anmeldung funktioniert nach wie vor nicht. Beim Anmelden eines Benutzers (den es in den lokalen Kontakten von i-doit nicht gibt) kommt die Fehlermeldung: Invalid username or password!
Ist die LDAP-Konfiguration aktiv, kann ich in den Kontakten keine neuen Benutzer mehr anlegen.

Was machen wir denn falsch …???

Gruß mg