LDAP Konfiguration



  • Ich bin neu hier im Forum und sage ersteinmal allen Hallo.
    Ich bin momentan damit beschäftigt i-doit zu Testen um es evtl. in der nächsten Zeit produktiv einzusetzten.
    Jetzt wollte ich die LDAP-Anbindung in Angriff nehmen, krige es jedoch nicht hin.

    Ich konfiguriere einen neuen Server
    Aktiv: Ja
    Directory: Active Directory
    LDAP-Version: 3
    IP / Hostname: IP oder Name des Servers
    Port: 389
    TLS: Nein
    Admin Benutzername(DN)():administrator
    passwort(
    😞 *******
    Passwort Wiederholung(*): ******
    Timelimit: 30

    LDAP Parameter für i-doit
    Nach Benutzern suchen in (OU)(*):  OU=tree
    Filter: (objectClass=user)

    Wenn ich jetzt Start Test klicke kommt folgender Fehler: LDAP Bind failed (Invalid credentials). Host: server:389. User: administrator
    Wenn ich den Benutzername und die Passwörter entferne kommt folgender Fehler:Connection OK!
    No object found. That means that no one will be able to login with the current setup. Check your filter and search-dn.

    Was mache ich falsch?



  • Das liegt daran, daß weder der Admin-DN noch der Benutzerfilter stimmt.

    Für einen SBS-Server hier mal die meine Konfig.

    Admin-DN: CN=Administrator,cn=Users,DC=ek17,DC=local

    Benutzer-OU: OU=SBSUsers,OU=Users,OU=MyBusiness,DC=ek17,DC=local

    Damit funktioniert der Test. Weiter komme ich allerdings noch nicht, bei mir schlägt die Anmeldung dann fehl.



  • Hatte, habe auch Probleme damit. Siehe: http://www.i-doit.org/forum/index.php/topic,838.15.html



  • Gibt es eine Erklärung zu den Filtern ich weiss nicht was ich da eintragen muss.



  • (objectClass=user) sollte doch passen. Das ist schon voreingestellt.



  • Hi tesso 🙂
    Funktioniert die Anmeldung bei dir mittlerweile?

    @Private: http://www.google.de/search?hl=de&q=ldap+filter
    Der Filter dient dazu, nur bestimmte Objekte aus dem Directory zu beziehen. In unserem Fall sind es user.



  • Das habe ich mir auch gedacht aber was mach ich denn mit den Informationen über den Administrator?
    Irgendwie muss ich den ja mitgeben, damit das AD weiss dass es informationen liefern darf oder nicht?



  • Ein Beispiel für den Admin hast du weiter oben. Das sollte bei allen Windowsservern passen. Nur die User liegen beim SBS woanders.



  • Hallo ds,

    ich habe heute meine Installation zerschossen. Die Systemdb war leer, alles sehr merkwürdig. Habe mir dann die DBs gedumpt und alles gelöscht. Selbst mysql wurde neu installiert. Leider kommt immer ein Fehler beim Anlegen der Datenbanken.

    Jetzt wird alles auf einen anderen Server umgezogen und die Kiste plattgemacht. Der Umzug war eh für demnächst geplant. danach teste ich nochmal den LDAP.
    Muß nur schauen ob ich den Server nebenher selbst hochziehe oder warte bis meine Praktkantin da ist. Da ich ungeduldig bin und wissen will ob es geht, werde ich es wohl selbst machen.



  • Ich habe nun mal die Zeile:

    CN=Administrator,cn=Users,DC=ek17,DC=local

    in das Feld Admin Benutzername kopiert und habe zudem das Passwort für den Admin bei Passwort und Passwort Wiederholung eingetragen.  Ergebniss

    LDAP Bind failed (Invalid credentials). Host: dc1:389. User: CN=Administrator,cn=Users,DC=ek17,DC=local



  • Das Beispiel stammt von MIR. Du musst natuürlich den DC auf deine Umgebung anpassen.



  • CN=Administrator,     Ich vermute dass das der User ist, über den sich i-doit die Berechtigungen nimmt Informationen aus dem AD zu holen.
    cn=Users,                ?               
    DC=ek17,                ?
    DC=local                  ?

    Da ich irgendwie Verständnissprobleme habe, könnte mir jemand eine erklärung zu den 4 Zeile geben? Währe sehr nett!



  • Schau doch mal deine Benutzer an. Der Administrator (CN) befindet sich in Users (ebenfalls CN). Frag mich nicht warum, ich war früher der  Meinung Users müsste eine OU sein. Ein LDAPbrowser lehrte mich dann was anderes.
    ek17.local ist mein domainname. Der wird zerlegt in dc=ek17 und dc=local.

    Jetzt etwas klarer?

    Es gibt ein gutes Tool von MS zum browsen im LDAP. Kann ich dir nachher raussuchen. Auch einen guten LDAPbrowser solltest du dir mal zu Gemüte führen und eine Idee zu bekommen wie das AD im LDAP repräsentiert wird.



  • Danke schon mal ist schon etwas klarer geworden



  • Bin jetzt im Büro:

    LDAPBrowser: Softerra ldapbrowser 2.6, der ist frei und gut zu bedienen.

    Von Microsoft gibt es die Windows Support Tools http://www.microsoft.com/downloads/details.aspx?displaylang=de&familyid=49ae8576-9bb9-4126-9761-ba8011fabf38
    Darin befindet sich ein Tool ldp. Damit kannst du dich durch deinen LDAP hangen.

    Ich nutze beide Tools.



  • Vielen Dank!!!
    Es funktioniert jetzt.
    Anmelden klappt zwar noch nicht aber das Grundlegende ist gemacht!



  • Dann bist du jetzt soweit wie ich.



  • Für die Anmeldung ist das Mapping der LDAP-Attribute in der Directory Konfiguration von euerm AD wichtig. Insbesondere i-doit: username => ldap: sAMAccountName
    Ansonsten die Bindung einer i-doit Gruppe an eine LDAP Gruppe in der sich der entsprechende user befindet, das geht in der Bearbeitung der Gruppe unter Kontakte



  • Habe jetzt einen neuen Server aufgesetzt und idoit installiert.
    Version 0.95 danach die nb-3906.

    Jetzt bekomme ich folgenden Fehler:
    You need at least reading rights for logging in to an i-doit mandator.
    Contact your system administrator for adding your user into a corresponsing right-group.

    Beim LDAP-Mapping für die Admingruppe steht Buchhaltung. In dieser Gruppe ist der Benutzer der sich anmeldet.



  • Genau wie bei mir 🙂

    Mir zerschießt dann immer die Oberfläche ich denkmal ich warte auf die nächste version


Log in to reply
 


Datenschutz / Privacy Policy