nixlos
Goto Top

AD LDAP Problem mit UPN Suffix und Referrals

Hallo,

ich versuche verzweifelt mit einer SonicWall die Gruppen aus dem LDAP zu ziehen.

Die User haben die Mailadresse als UPN.

Was funktioniert:
UPN mit FQDN der Domain sub.domain.tld
UPN mit der Domain domain.tld aber nur via Global Catalog

Was funktioniert nicht:
UPN mit der Domain xyz.tld als Alternative UPN Suffix

Das Problem, sobald die LDAP Anfrage mit einem Referral beantwortet wird kommt die SonicWall nicht weiter. Genau das passiert bei einer beliebigen Domain als alt. UPN Suffix. Klar, er findet diese nicht im DNS. Ich habe schon versucht einen A Record auf den DC zu setzen - ohne Erfolg.

Habt ihr mir eine Idee? Warum antwortet der Global Catalog hier nicht ohne Referral, wie er es im Falle der Hauptdomain auch tut?

Angeblich kann die SonicWall Referrals, nur wie muss ich hier den DNS bzw. das AD konfigurieren?

VG nl

Content-ID: 493204

Url: https://administrator.de/forum/ad-ldap-problem-mit-upn-suffix-und-referrals-493204.html

Ausgedruckt am: 23.12.2024 um 18:12 Uhr

emeriks
emeriks 09.09.2019 aktualisiert um 17:04:23 Uhr
Goto Top
Hi,
was ist Dein Problem?

Ich lese heraus, Du hast ein AD Forest mit mehreren Domains?
Und die FQDN der AD-Domänen sind ungleich dem FQDN der Mail-Domäne?

Ich kenne jetzt die SonicWall nicht. Aber ich weiß, dass viele Linux-Büchsen bei einem AD-Abgleich via LDAP immer mal wieder Probleme haben, wenn da mehrere Domänen im Spiel sind, besonders dann, wenn die nicht alle im selben Namespace sind (mehrere Tree in einem Forest). Das kommt jetzt darauf an, was alles synchronisiert werden soll. Wenn es nur Attribute sind, welche im Globalen Katalog enthalten sind, dann mit dem GC abgleichen. Wenn da aber auch Attribute bei sind, welche nicht im GC enthalten sind, dann
  • entweder im Schema aktivieren, dass diese Attribute auch im GC gespeichert werden, oder
  • jede einzelne Domäne (nicht GC!) synchronisieren und dabei je einen DC aus der betreffenden Domäne verwenden.

E.

Edit: Und wenn da mehrere Domänen im Spiel sind, dann muss die SonicWall auch über alle entsprechenden Domaincontroller abfragen können. (erreichen, Firewall)
nixlos
nixlos 09.09.2019 um 18:05:02 Uhr
Goto Top
Hallo emeriks,

ich habe eine Domain im Forest, diese hat einen zusätzlichen alternativen UPN Suffix. das kommt daher dass die Maildomain nicht der AD Domain entspricht, die User sich trotzdem mit der Mailadresse anmelden können.

Problem ist das der GC beim Abfragen der Usergruppen mittels UPN via LDAP(mit der Maildomain) einen Referral zurückgibt anstatt die Attribute des Users. Diesen Referral kann der DNS nicht auflösen und somit läuft alles ins leere.

Kann ich dem GC beibringen das er mir die Attribute zurückgibt? Alternativ, muss ich im DNS was tun?

VG nixlos
emeriks
emeriks 09.09.2019 um 18:53:24 Uhr
Goto Top
Die Gruppenmitgliedschaft eines Benutzers ist nicht im GC gespeichert. Wenn Du nur eine Domäne hast, dann kannst Du doch direkt diese Abfragen und nicht den GC.
nixlos
nixlos 09.09.2019 um 22:20:05 Uhr
Goto Top
habe beides getestet selbes Ergebnis bzw. Problem.

Mir ist aufgefallen das die SonicWall die Domain des UPN für die LDAP Abfrage als Basis verwendet.

Abgewöhnen kann ich ihr das nicht face-sad

Am DC kann ich hier vermutlich wenig tun, oder?
emeriks
emeriks 10.09.2019 um 09:00:40 Uhr
Goto Top
Zitat von @nixlos:
Mir ist aufgefallen das die SonicWall die Domain des UPN für die LDAP Abfrage als Basis verwendet.
Abgewöhnen kann ich ihr das nicht face-sad
Am DC kann ich hier vermutlich wenig tun, oder?
Wenn das so ist, dann nein. Wobei ich mir das aber nur sehr schwer vorstellen kann.
Was heißt "als Basis verwendet"? Macht er auch dem "domain.de" dann ein "dc=domain,dc=de"?
Oder meinst Du etwa, dass er dann die Abfrage an "domain.de" sendet?
nixlos
nixlos 10.09.2019 um 20:28:54 Uhr
Goto Top
Oh, entschuldige, das war ungeschickt ausgedrückt.

Die SonicWall verwendet die Domain des UPN als Base für die LDAP Abfrage. Das geht bei einem UPN Suffix schief.
Mal schauen ob der Support hier helfen kann.
emeriks
emeriks 11.09.2019 um 07:53:46 Uhr
Goto Top
Zitat von @nixlos:
Die SonicWall verwendet die Domain des UPN als Base für die LDAP Abfrage.
Jetzt hast Du das Gleiche noch einmal geschrieben. Gleich viel klarer ....
nixlos
nixlos 03.10.2019 um 23:47:18 Uhr
Goto Top
Das Problem ist das aufgrund der Domain im UPN die SonicWall einen LDAP Query auf eine nicht vorhande Domain macht.

Nach langem hin und her, ist wohl ein Bug in der Software. Man arbeitet wohl dran...