Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Icinga AD Auth

Mitglied: certifiedit.net

certifiedit.net (Level 5) - Jetzt verbinden

30.01.2014, aktualisiert 20.08.2014, 4556 Aufrufe, 6 Kommentare

Guten Abend werte Mit Admins,

da ich seit gefühlten 20 Stunden vor einer aktualisierten Icinga Installation sitze und solangsam die Wiresharkzeilen vor meinen Augen in sich verschwimmen folgende Frage:

1. Hat jemand bereits unter (Debian) Icinga 1.10 einen LDAP auth gegen ein MS AD (2012R2) durchbekommen?
2. Wie kann ich die Benutzerauthentifizierung ordentlich durch handeln?

Folgende Infos:

Angepasst wurde die File auth.xml.

Ich bekomme Anfragen vom Icinga Server ans LDAP durch, der findet auch den User mit dem Schema dom\user und ja, jetzt ist das Problem, dass icinga mir entweder den Benutzer nicht als auth annimmt. Oder dom/user nicht als Format.

01.
[Thu Jan 30 21:44:14 2014] [debug] Auth.Provider.LDAP Error: Bad search filter (errno=-7,resource=269)
02.

03.
[Thu Jan 30 21:44:14 2014] [debug] Auth.Provider: Object (name=http-basic-authentication) initialized
04.
[Thu Jan 30 21:44:14 2014] [debug] Auth.Dispatch: User cound not authorized (username=dom\me)
Ich vermute das Problem liegt irgendwo an 5-20 Zeichen die ich ändern muss. Nur welche?

Tipps? Anmerkungen?

PS: Was ist ein "cound"?

LG,

Christian
Mitglied: Dani
30.01.2014 um 23:01 Uhr
Abend,
Hast du uns noch die Konfigruationsdatei?
Versucht du Web Classic oder New Web?
Hast du den Wiki Artikel dazu schon getestet?


Grüße
Dani
Bitte warten ..
Mitglied: certifiedit.net
30.01.2014, aktualisiert um 23:13 Uhr
Abend,

Mist, @wireshark lines, dachte ich hätte icinga-web geschrieben, daher New ;)

Config:
[Ausschnit aus auth.xml]
01.
            <ae:parameter name="msad-ldap1">
02.
            <ae:parameter name="auth_module">AppKit</ae:parameter>
03.
            <ae:parameter name="auth_provider">Auth.Provider.LDAP</ae:parameter>
04.
            <ae:parameter name="auth_enable">true</ae:parameter>
05.
            <ae:parameter name="auth_authoritative">true</ae:parameter>
06.
            <ae:parameter name="auth_create">true</ae:parameter>
07.
            <ae:parameter name="auth_update">true</ae:parameter>
08.
                                                                                                        
09.
            <ae:parameter name="auth_map">
10.
                <ae:parameter name="user_firstname">givenName</ae:parameter>
11.
                <ae:parameter name="user_lastname">sn</ae:parameter>
12.
                <ae:parameter name="user_email">mail</ae:parameter> 
13.
            </ae:parameter>
14.

15.
            <ae:parameter name="ldap_allow_anonymous">false</ae:parameter>
16.
            <ae:parameter name="ldap_dsn">ldap://ad_IP</ae:parameter>
17.
            <ae:parameter name="ldap_start_tls">false</ae:parameter>
18.
            <ae:parameter name="ldap_basedn">OU=Nutzer,DC=Firma,DC=Dom</ae:parameter>
19.
            <ae:parameter name="ldap_binddn">dom\LDAPUSER</ae:parameter>
20.
            <ae:parameter name="ldap_bindpw"><![CDATA[PASS]]></ae:parameter>
21.
            <ae:parameter name="ldap_userattr">uid</ae:parameter>
22.
            <ae:parameter name="ldap_filter_user"><![CDATA[(&(uid=__USERNAME__))]]></ae:parameter>
23.
PS: Ja, der Wiki Artikel war der Beginn der Odysee. ;)
Bitte warten ..
Mitglied: Dani
LÖSUNG 30.01.2014, aktualisiert 09.02.2014
Ich kann auf unsere Konfiguration ge
Hast statt dom\user mal user@fqdn.local versucht? Ansonsten Versuch mal cn=Username,ou=Test,.... Kenn ich so von OTRS.
Lass bei BaseDN mal die OU weg und schieb den User in OU Users. Einfach um die Tests zu vereinfachen.

Versuch es so:
<ae:Parameter name="ldap_userattr">sAMAccountName</ae:parameter>
<ae:parameter name="ldap_filter_user"><![CDATA[(&(sAMAccountName=_USERNAME_))]]></ae:parameter>

uid ist mir kein bekanntes LDAP Feld...
Bitte warten ..
Mitglied: certifiedit.net
30.01.2014, aktualisiert um 23:45 Uhr
Ich habe ersteres wie zweiteres versucht

mit UPN geht gar nichts, mit dom\user erkennt er diesen wirft dann aber Fehler siehe oben. (@uid wie @sAMA...) Der LDAP Bind an sich geht. (Nutzer = User, hab ich wohl zu viel verallgemeinert ;) ). Aber wie gesagt, laut den Logs funktioniert alles bis zu dem Fehler oben und genau da häng ich jetzt schon eine Weile.

01.
dn: cn=sample user,ou=people,dc=example,dc=com
02.
objectClass: top
03.
objectClass: inetOrgPerson
04.
cn: sample user
05.
uid: sampleuser
Bitte warten ..
Mitglied: certifiedit.net
31.01.2014 um 02:05 Uhr
OK, alles auf 0.

Muss in Icinga für den Auth der Benutzer wirklich von Hand in Icinga angelegt werden mit ldap auth? Geht das nicht bequemer per OU aus der eben jeder User Zugriff hat?

Btw: Besten Dank für die PM @Dani
Bitte warten ..
Ähnliche Inhalte
Monitoring
Shinken Vorteile gegenüber Icinga?
Frage von ScuzzyMonitoring6 Kommentare

Mahlzeit! Kann mir einer von euch die Vorteile vom Shinken gegenüber dem Icinga nennen? Wäre super nett! Vielen Dank ...

Windows Server
Exchange Kerberos-Auth
Frage von Philipp711Windows Server

Hallo Leute, wir haben unseren Exchange nach dieser Anleitung auf die Kerberos-Authentifizierung vorbereitet: Soweit sollte alles funktioniert haben - ...

Linux Tools

Icinga Prozessdauer Überwachung auf Linux

gelöst Frage von WinLiCLILinux Tools3 Kommentare

Hallo Leute, ich möchte auf einem Linuxserver eine Prozessdauer von einem Skript überwachen, da es passiert, dass dieses Skript ...

LAN, WAN, Wireless

Wifi Auth per PEAP-MSCHAPv2 - AD-Accounts geblockt nach PW-Änderung

gelöst Frage von jsysdeLAN, WAN, Wireless11 Kommentare

N'Abend zusammen. Vielleicht hat ja einer von euch ne zündende Idee Wir setzen Cisco Aironet-APs samt passenden WLCs ein, ...

Neue Wissensbeiträge
Viren und Trojaner

Staatstrojaner soll auch per Einbruch installiert werden können

Information von transocean vor 1 TagViren und Trojaner2 Kommentare

Moin, Bundesinnenminister Horst Seehofer will dem Verfassungsschutz Wohnungseinbrüche erlauben, um den geplanten Staatstrojaner zu installieren. Gruß Uwe

Windows 7
Win7 Update scheitert KB4512506
Information von infowars vor 1 TagWindows 7

Falls jemand auch das Problem hat mit dem: Monatliches Sicherheitsqualitätsrollup für Windows 7 für x64-basierte-Systeme (KB4512506) Das scheint mit ...

Humor (lol)
Wenn hacken nach hinten los geht
Information von em-pie vor 2 TagenHumor (lol)5 Kommentare

Moin, weil heute Freitag ist, nachfolgender kurzer Artikel zum schmunzeln:) l+f: NULL ist ein notorischer Falschparker

Windows Update
Windows: August 2019 Patchday-Probleme
Information von kgborn vor 3 TagenWindows Update3 Kommentare

Ich kippe mal einige kurze Informationen hier rein - vielleicht hilft es Betroffenen. Die August 2019-Updates für Windows haben ...

Heiß diskutierte Inhalte
Switche und Hubs
Glasfaser-Anschluss Telekom muss verteilt werden
Frage von cansoniSwitche und Hubs29 Kommentare

Vorweg: Bin nur Anwender und kein Experte Die Situation: Der Vermieter stellt einen Glasfaseranschluss in der Wohnung bereit. Wir ...

Ubuntu
Download manchmal langsam oder komplette Abbrüche bzw. Videos spielen nicht bis zum Schluss
Frage von stefanstpUbuntu18 Kommentare

Immer wieder berichten unsere Kunden, dass Downloads abbrechen oder super langsam sind oder Videos nicht abgespielt werden können bzw. ...

Hyper-V
VMs von Hyper-V auf externer Festplatte
Frage von SnowbirdHyper-V18 Kommentare

Hallo, ich möchte gerne von VirtualBox auf Hyper-V umsteigen und würde auch gerne weiterhin meine VMs auf der externen ...

Festplatten, SSD, Raid
SSDs durch Lagerung ohne Strom nach 6 Monaten defekt?!?
gelöst Frage von GlobetrotterFestplatten, SSD, Raid16 Kommentare

Moin Gemeinde Ich hatte gerade nen Trauerspiel Habe hier etliche NAS-Geräte herumfahren welche ich mal auf die Seite gelegt ...