1
OpenOTP mit Anbindung an Active Directory
Hi,
kennt sich jemand von Euch mit OpenOTP aus, speziell was die Anbindung an Active Directory betrifft?
Wir möchten OpenOTP mit nur einer Appliance einrichten, um einen Active Directory Forest mit zwei Strukturen (tree) zu bedienen, wobei beide Strukturen mehrere Subdomains haben.
Insgesamt gibt es 10 Domains. Unterhalb der Stammdomäne der Gesamtstruktur (erste Domänenstruktur) befindet sich eine Unterdomäne. Und in der zweiten Struktur gibt es 7 Subdomänen unterhalb der Stammdomäne des Baums.
Abgesehen von der Besonderheit der Forest Root Domain ist die Stamm-Domäne des zweiten Baums unsere Admin-Domäne, in der sich die Admin-Konten und Server befinden.
Forest root domain --> R1
Subdomain von domain R1 --> R1.1
Root domain vom 2. tree (admin domain) --> A1
Subdomain von domain A1 --> A1.1
Subdomain von domain A1 --> A1.2
Subdomain von domain A1 --> A1.3
usw.
Wir haben einen OpenOTP-Server mit einer Testlizenz eingerichtet und mit einer OU für WebADM-Root in der Admin-Domäne A1 konfiguriert.
Der LDAP-Proxy-Benutzer befindet sich ebenfalls in A1.
Das Proxy-Benutzerkonto verfügt über Leseberechtigungen in der gesamten Gesamtstruktur (alle Domänen).
Das Active Directory Schema wurde erweitert und auf alle Domaincontroller aller Domains repliziert.
So weit, so gut.
Meine primäre Frage ist:
Wie richte ich OpenOTP ein, um Benutzerkonten von allen Domänen in der Gesamtstruktur zu verwalten?
Was ich bereits gemacht habe:
Im WebADM eine Domäne unter "User Domains" hinzugefügt:
Name --> NetBIOS Name der Domäne R1.1
User Search Base --> Distinguished Name von R1.1
Domain Name Aliases --> NetBIOS Name von R1.1
"LDAP Mount Point" für diese Domäne hinzugefügt:
Name --> NetBIOS Name der Domäne R1.1
Hostnames --> Die FQDN von zwei DC's dieser Domäne
Port --> 389
Encryption --> None
Tree Base --> Distinguished Name von R1.1
Login DN and Password --> den selben Proxy Benutzer wie o.g.
WebADM zeigt den Mount Point als "enabled" und "mounted". Es hat automatisch erkannt: "Server type: Microsoft" und "Schema extended: Yes"
Jetzt kann ich zwar links im LDAP Baum den Mount Point sehen, wenn ich die WebADM-OU aufklappe, aber ich kann diesen Mount Point selbst nicht aufklappen. Und damit kann ich auch keine Benutzerkonten auswählen, damit ich diese für OTP aktivieren kann.
Was mache ich falsch? Was habe ich vergessen?
E.
kennt sich jemand von Euch mit OpenOTP aus, speziell was die Anbindung an Active Directory betrifft?
Wir möchten OpenOTP mit nur einer Appliance einrichten, um einen Active Directory Forest mit zwei Strukturen (tree) zu bedienen, wobei beide Strukturen mehrere Subdomains haben.
Insgesamt gibt es 10 Domains. Unterhalb der Stammdomäne der Gesamtstruktur (erste Domänenstruktur) befindet sich eine Unterdomäne. Und in der zweiten Struktur gibt es 7 Subdomänen unterhalb der Stammdomäne des Baums.
Abgesehen von der Besonderheit der Forest Root Domain ist die Stamm-Domäne des zweiten Baums unsere Admin-Domäne, in der sich die Admin-Konten und Server befinden.
Forest root domain --> R1
Subdomain von domain R1 --> R1.1
Root domain vom 2. tree (admin domain) --> A1
Subdomain von domain A1 --> A1.1
Subdomain von domain A1 --> A1.2
Subdomain von domain A1 --> A1.3
usw.
Wir haben einen OpenOTP-Server mit einer Testlizenz eingerichtet und mit einer OU für WebADM-Root in der Admin-Domäne A1 konfiguriert.
Der LDAP-Proxy-Benutzer befindet sich ebenfalls in A1.
Das Proxy-Benutzerkonto verfügt über Leseberechtigungen in der gesamten Gesamtstruktur (alle Domänen).
Das Active Directory Schema wurde erweitert und auf alle Domaincontroller aller Domains repliziert.
So weit, so gut.
Meine primäre Frage ist:
Wie richte ich OpenOTP ein, um Benutzerkonten von allen Domänen in der Gesamtstruktur zu verwalten?
Was ich bereits gemacht habe:
Im WebADM eine Domäne unter "User Domains" hinzugefügt:
Name --> NetBIOS Name der Domäne R1.1
User Search Base --> Distinguished Name von R1.1
Domain Name Aliases --> NetBIOS Name von R1.1
"LDAP Mount Point" für diese Domäne hinzugefügt:
Name --> NetBIOS Name der Domäne R1.1
Hostnames --> Die FQDN von zwei DC's dieser Domäne
Port --> 389
Encryption --> None
Tree Base --> Distinguished Name von R1.1
Login DN and Password --> den selben Proxy Benutzer wie o.g.
WebADM zeigt den Mount Point als "enabled" und "mounted". Es hat automatisch erkannt: "Server type: Microsoft" und "Schema extended: Yes"
Jetzt kann ich zwar links im LDAP Baum den Mount Point sehen, wenn ich die WebADM-OU aufklappe, aber ich kann diesen Mount Point selbst nicht aufklappen. Und damit kann ich auch keine Benutzerkonten auswählen, damit ich diese für OTP aktivieren kann.
Was mache ich falsch? Was habe ich vergessen?
E.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7451071974
Url: https://administrator.de/contentid/7451071974
Printed on: April 27, 2024 at 10:04 o'clock
1 Comment
Das hat sich erledigt. Die Terminologie und Doku von OpenOTP ist da etwas verwirrend.
Man muss erst eine leere OU dafür erstellen und diese dann als Mount-DN in der MountPoint-Konfiguration verwenden.
Man muss erst eine leere OU dafür erstellen und diese dann als Mount-DN in der MountPoint-Konfiguration verwenden.