4
Pfsense Authentifizierung über LDAP
Moin,
ich habe hier eine pfsene 2.1.5 mit Alixboard aufgebaut. Ich wollte die Authentifizierung vom lokalen Manager auf Active Directory von Windows umstellen.
Ich habe in der AD eine OU mit dem Namen pfsense angelegt. In der OU ist eine Gruppe, die heißt "qwer". In dieser Gruppe sind 2 Nutzer drin.
Weiterhin habe ich einen Nutzer pfsense angelegt. Dieser dient zur Abfrage der LDAP-Datenbank.
In der pfsense habe ich folgendes gemacht:
Im User-Manager eine Gruppe mit dem gleichen Namen, wie in der AD (qwer) angelegt.
In dem Reiter Server unter "Authentication containers" den Button select gedrückt und die OU "pfsense" angewählt.
Das Feld wurde dann entprechend ausgefüllt.
Im Feld "Extended Query" folgendes eingetragen: memberOf=CN=qwer,OU=pfSense,DC=MEINE,DC=FIRMA,DC=DE
weiterhin haben die Felder folgende Einträge:
User naming attribute: samAccountName
Group naming attribute: cn
Group member attribute: memberOf
Dann unter dem Reiter Settings - Authentication Server - auf den neuen Eintrag unter Servers gezeigt und auf den Button "Save and Test" gedrückt.
Ergebnis war alles ok.
Jetzt die Authentifizierung unter Diagnostics- - Authentication getestet.
Hier gibt es einen Fehler und unter Status - System Logs kommt folgender Fehler:
php: /diag_authentication.php: ERROR! Either LDAP search failed, or multiple users were found.
Kann mir hier jemand weiterhelfen?
ich habe hier eine pfsene 2.1.5 mit Alixboard aufgebaut. Ich wollte die Authentifizierung vom lokalen Manager auf Active Directory von Windows umstellen.
Ich habe in der AD eine OU mit dem Namen pfsense angelegt. In der OU ist eine Gruppe, die heißt "qwer". In dieser Gruppe sind 2 Nutzer drin.
Weiterhin habe ich einen Nutzer pfsense angelegt. Dieser dient zur Abfrage der LDAP-Datenbank.
In der pfsense habe ich folgendes gemacht:
Im User-Manager eine Gruppe mit dem gleichen Namen, wie in der AD (qwer) angelegt.
In dem Reiter Server unter "Authentication containers" den Button select gedrückt und die OU "pfsense" angewählt.
Das Feld wurde dann entprechend ausgefüllt.
Im Feld "Extended Query" folgendes eingetragen: memberOf=CN=qwer,OU=pfSense,DC=MEINE,DC=FIRMA,DC=DE
weiterhin haben die Felder folgende Einträge:
User naming attribute: samAccountName
Group naming attribute: cn
Group member attribute: memberOf
Dann unter dem Reiter Settings - Authentication Server - auf den neuen Eintrag unter Servers gezeigt und auf den Button "Save and Test" gedrückt.
Ergebnis war alles ok.
Jetzt die Authentifizierung unter Diagnostics- - Authentication getestet.
Hier gibt es einen Fehler und unter Status - System Logs kommt folgender Fehler:
php: /diag_authentication.php: ERROR! Either LDAP search failed, or multiple users were found.
Kann mir hier jemand weiterhelfen?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 254451
Url: https://administrator.de/forum/pfsense-authentifizierung-ueber-ldap-254451.html
Ausgedruckt am: 02.04.2025 um 09:04 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
wenn das AD die autentifizierung übernehmen soll, warum dann bitte eine Gruppe mit gleichem Namen auf der pfsense?
Sagt das Log vom DC was über fehlerhafte Loginversuche / werdne die gelogt?
Gruß
Chonta
wenn das AD die autentifizierung übernehmen soll, warum dann bitte eine Gruppe mit gleichem Namen auf der pfsense?
Sagt das Log vom DC was über fehlerhafte Loginversuche / werdne die gelogt?
Gruß
Chonta
Das mit der gleichen Gruppe steht in diesem Link:
https://forum.pfsense.org/index.php?topic=44689.0
Auf dem DC steht leider nichts dazu. Auf dem DC ist nur der erfolgreiche Login von dem User, den ich unter "Bind credentials" hinterlegt habe.
Die pfsense sagt leider nur das:
"php: /diag_authentication.php: ERROR! Either LDAP search failed, or multiple users were found."
https://forum.pfsense.org/index.php?topic=44689.0
Auf dem DC steht leider nichts dazu. Auf dem DC ist nur der erfolgreiche Login von dem User, den ich unter "Bind credentials" hinterlegt habe.
Die pfsense sagt leider nur das:
"php: /diag_authentication.php: ERROR! Either LDAP search failed, or multiple users were found."
So, nun habe ich den Fehler gefunden. Wichtig hierbei ist folgendes zu beachten:
Im Feld "Authentication containers" kommen alle OUs rein, in denen Nutzer hinterlegt sind. Bei mir ist die AD etwas größer, als bei den gezeigten Beispielen im Netz. Wenn z.B. Nutzer in weiteren OUs verschachtelt sind, dann müsen diese auch in diesem Feld angegeben werden. Hier macht es der "Select-Button" sehr einfach. Wenn man ihn anklickt, dann wird einem das gesamte AD angezeigt. Hier macht man einfach nur die Häcken, wo die Nutzer hinterlegt sind.
Das Feld "Extended Query" bleibt frei.
Im Feld "bind creditals" habe ich die Anmeldung wie folgt eingetippt: cn=pfsense,OU=pfSense,OU=Nutzer,OU=Hannover,OU=Automobile,dc=hannover,dc=firma,dc=de
(Das ist natürlich nur ein Beispiel). Hier ist der Nutzer zum Anmelden in der AD "pfsense" in der OU"pfsense".
Hier sollte man auch einen Nutzer nehmen, der in der AD keine Rechte hat. Habe schon gesehen, dass manche sogar einen Domänenadmin genommen haben.
Wichtig ist noch, dass "Search scope" mit "Entire Subtree" gewählt wird, damit die pfsense auch die gesamte AD durchsuchen kann.
Im Feld "Authentication containers" kommen alle OUs rein, in denen Nutzer hinterlegt sind. Bei mir ist die AD etwas größer, als bei den gezeigten Beispielen im Netz. Wenn z.B. Nutzer in weiteren OUs verschachtelt sind, dann müsen diese auch in diesem Feld angegeben werden. Hier macht es der "Select-Button" sehr einfach. Wenn man ihn anklickt, dann wird einem das gesamte AD angezeigt. Hier macht man einfach nur die Häcken, wo die Nutzer hinterlegt sind.
Das Feld "Extended Query" bleibt frei.
Im Feld "bind creditals" habe ich die Anmeldung wie folgt eingetippt: cn=pfsense,OU=pfSense,OU=Nutzer,OU=Hannover,OU=Automobile,dc=hannover,dc=firma,dc=de
(Das ist natürlich nur ein Beispiel). Hier ist der Nutzer zum Anmelden in der AD "pfsense" in der OU"pfsense".
Hier sollte man auch einen Nutzer nehmen, der in der AD keine Rechte hat. Habe schon gesehen, dass manche sogar einen Domänenadmin genommen haben.
Wichtig ist noch, dass "Search scope" mit "Entire Subtree" gewählt wird, damit die pfsense auch die gesamte AD durchsuchen kann.
Hallo,
ein und das selbe AD Objekt kann immer nur in einer OU sein!
Aber um das Objekt über LDAP anzusprechen, muss natürlich der ganze LDAP-Pfad angegeben werden.
Was für einen Benutzer Du nimmst kommt darauf an was der können muss. Lesezugriff hat jeder Benutzer aber ggf nicht auf alles im AD!
Gruß
Chonta
ein und das selbe AD Objekt kann immer nur in einer OU sein!
Aber um das Objekt über LDAP anzusprechen, muss natürlich der ganze LDAP-Pfad angegeben werden.
Was für einen Benutzer Du nimmst kommt darauf an was der können muss. Lesezugriff hat jeder Benutzer aber ggf nicht auf alles im AD!
Gruß
Chonta
