Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem beim einrichten eines OpenLDAP Proxy für Active Directory

Mitglied: jeschero

jeschero (Level 1) - Jetzt verbinden

17.11.2019 um 21:26 Uhr, 355 Aufrufe, 3 Kommentare

Guten Abend alle zusammen,

ich versuche gerade eine OpenLDAP Proxy für Active Directory aufzusetzen.

Er wird genötigt um Dockercontainer ohne Unterstützung für ldaps mit den Benutzerdaten zu versorgen.
Der OpenLDAP Proxy soll nachher per ldap nur in Docker erreichbar sein, ist nicht 100% sicher, aber für meine Zwecke reicht es.
Das AD ist nur per ldaps erreichbar.

Ich verwende noch eine Debian 10 VM um erstmal die Config korrekt einzustellen.
Ich habe mich an den folgenden Einträge gerichtet:
- https://doc.owncloud.com/server/admin_manual/configuration/ldap/ldap_pro ...
- https://wiki.samba.org/index.php/OpenLDAP_as_proxy_to_AD

Ich überprüfe mit "/usr/sbin/slaptest -f /etc/ldap/slapd.conf -F /etc/ldap/slapd.d/" meine Config und starte nach Änderung den Service "slapd" neu.

Die /etc/default/slapd habe ich um folgende Zeile angepasst:
01.
SLAPD_CONF=/etc/ldap/slapd.conf

Meine /etc/ldap/lslapd.conf:
01.
### Schema includes
02.
###########################################################
03.
include         /etc/ldap/schema/core.schema
04.
include         /etc/ldap/schema/cosine.schema
05.
include         /etc/ldap/schema/nis.schema
06.
include         /etc/ldap/schema/inetorgperson.schema
07.
include         /etc/ldap/schema/misc.schema
08.
include         /etc/ldap/schema/microsoftattributetype.schema
09.

10.

11.
## Module paths ##############################################################
12.
modulepath      /usr/lib/ldap
13.
moduleload      back_ldap
14.
moduleload      rwm
15.

16.

17.
# Main settings
18.
###############################################################
19.
pidfile         /var/run/slapd/slapd.pid
20.
argsfile        /var/run/slapd/slapd.args
21.

22.
### Database definition (Proxy to AD)
23.
#########################################
24.

25.
#backend         ldap
26.

27.
database        ldap
28.
readonly        yes
29.
protocol-version 3
30.
rebind-as-user  yes
31.
uri             "ldaps://hn-dc01.example.net:636"
32.
suffix          "DC=int,DC=example,DC=net"
33.
#chase-referrals yes
34.
binddn          "CN=ldapsearch,CN=Users,DC=int,DC=example,DC=net"
35.
bindpw          "<password>"
36.
TLSCACertificateFile     /etc/ldap/certs/example-ADCA.crt
37.

38.

39.
attributetype ( 1.2.840.113556.1.4.221
40.
       NAME 'sAMAccountName'
41.
       SYNTAX '1.3.6.1.4.1.1466.115.121.1.15'
42.
       SINGLE-VALUE )
43.

44.
attributetype ( 1.2.840.113556.1.2.210
45.
       NAME 'proxyAddresses'
46.
       SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' )
47.

48.

49.
overlay         rwm
50.

51.
# Now we rewrite the attributes
52.
rwm-map         attribute uid sAMAccountName
53.
rwm-map         attribute mail proxyAddresses
54.
#rwm-map         attribute dn distinguishedName
55.

56.
### Logging
57.
###################################################################
58.
loglevel        any
Die /etc/ldap/ldap.conf:
01.
#
02.
# LDAP Defaults
03.
#
04.

05.
# See ldap.conf(5) for details
06.
# This file should be world readable but not world writable.
07.

08.
#BASE   dc=example,dc=com
09.
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666
10.

11.
#SIZELIMIT      12
12.
#TIMELIMIT      15
13.
#DEREF          never
14.

15.
# TLS certificates (needed for GnuTLS)
16.
#TLS_CACERT     /etc/ssl/certs/ca-certificates.crt
17.
TLS_CACERT      /etc/ldap/certs/TecIn-ADCA.crt
Mit diesem Kommando teste ich lokal den Proxy:
01.
ldapsearch -H ldap://localhost -x -LLL \
02.
    -D "cn=ldapsearch,cn=Users,dc=int,dc=example,dc=net" \
03.
    -b "cn=Users,dc=int,dc=example,dc=net" \
04.
    -W name -d 5
Leider bekomme ich immer folgenden Fehler:
01.
ldap_url_parse_ext(ldap://localhost)
02.
ldap_create
03.
ldap_url_parse_ext(ldap://localhost:389/??base)
04.
ldap_sasl_bind
05.
ldap_send_initial_request
06.
ldap_new_connection 1 1 0
07.
ldap_int_open_connection
08.
ldap_connect_to_host: TCP localhost:389
09.
ldap_new_socket: 3
10.
ldap_prepare_socket: 3
11.
ldap_connect_to_host: Trying ::1 389
12.
ldap_pvt_connect: fd: 3 tm: -1 async: 0
13.
attempting to connect:
14.
connect success
15.
ldap_open_defconn: successful
16.
ldap_send_server_request
17.
ber_scanf fmt ({it) ber:
18.
ber_scanf fmt ({i) ber:
19.
ber_flush2: 79 bytes to sd 3
20.
ldap_result ld 0x56538d980580 msgid 1
21.
wait4msg ld 0x56538d980580 msgid 1 (infinite timeout)
22.
wait4msg continue ld 0x56538d980580 msgid 1 all 1
23.
** ld 0x56538d980580 Connections:
24.
* host: localhost  port: 389  (default)
25.
  refcnt: 2  status: Connected
26.
  last used: Sun Nov 17 21:18:22 2019
27.

28.

29.
** ld 0x56538d980580 Outstanding Requests:
30.
 * msgid 1,  origid 1, status InProgress
31.
   outstanding referrals 0, parent count 0
32.
  ld 0x56538d980580 request count 1 (abandoned 0)
33.
** ld 0x56538d980580 Response Queue:
34.
   Empty
35.
  ld 0x56538d980580 response count 0
36.
ldap_chkResponseList ld 0x56538d980580 msgid 1 all 1
37.
ldap_chkResponseList returns ld 0x56538d980580 NULL
38.
ldap_int_select
39.
read1msg: ld 0x56538d980580 msgid 1 all 1
40.
ber_get_next
41.
ber_get_next: tag 0x30 len 40 contents:
42.
read1msg: ld 0x56538d980580 msgid 1 message type bind
43.
ber_scanf fmt ({eAA) ber:
44.
read1msg: ld 0x56538d980580 0 new referrals
45.
read1msg:  mark request completed, ld 0x56538d980580 msgid 1
46.
request done: ld 0x56538d980580 msgid 1
47.
res_errno: 52, res_error: <Proxy operation retry failed>, res_matched: <>
48.
ldap_free_request (origid 1, msgid 1)
49.
ldap_parse_result
50.
ber_scanf fmt ({iAA) ber:
51.
ber_scanf fmt (}) ber:
52.
ldap_msgfree
53.
ldap_err2string
54.
ldap_bind: Server is unavailable (52)
55.
        additional info: Proxy operation retry failed
56.
ldap_free_connection 1 1
57.
ldap_send_unbind
58.
ber_flush2: 7 bytes to sd 3
59.
ldap_free_connection: actually freed
Mit diesem Kommande kann ich von der VM auf das AD zugreifen:
01.
ldapsearch -H ldaps://hn-dc01.int.example.net -x -LLL \
02.
    -D "cn=ldapsearch,cn=Users,dc=int,dc=example,dc=net" \
03.
    -b "cn=Users,dc=int,dc=example,dc=net" \
04.
    -W name
Also funktioniert wohl das CA-Zertifikat


Kann mir jemand sagen, was mein Denkfehler ist?
Komme da leider nicht drauf .

Vielen Dank euch.


Wenn ich die Frage nicht im richtigen Unterforum gepostet habe, bitte verschieben, oder mit das sagen.

Beste Grüße
jeschero
Mitglied: Dani
18.11.2019 um 11:23 Uhr
Moin,
Kann mir jemand sagen, was mein Denkfehler ist?
direkt nicht - bin grad unterwegs. Aber hier zwei Referenz Konfigurationen:
https://gist.github.com/tuxfight3r/565dc060d2d5837f7349be9c0a1ea61b
https://linoxide.com/linux-how-to/configure-ad-authentication-ldap-proxy ...


Gruß,
Dani
Bitte warten ..
Mitglied: jeschero
18.11.2019 um 21:09 Uhr
Der Versuch mit diesem Link hat leider nicht geholfen:
https://linoxide.com/linux-how-to/configure-ad-authentication-ldap-proxy ...

/etc/ldap/slapd.conf
01.
include /etc/ldap/schema/core.schema
02.
include /etc/ldap/schema/cosine.schema
03.
include /etc/ldap/schema/inetorgperson.schema
04.
include /etc/ldap/schema/nis.schema
05.

06.
## Module paths ##############################################################
07.
modulepath      /usr/lib/ldap
08.
moduleload      back_ldap
09.
moduleload      rwm
10.

11.
database ldap
12.
subordinate
13.
rebind-as-user yes
14.
uri             "ldaps://hn-dc01.example.net:636"
15.
suffix          "DC=int,DC=example,DC=net"
16.
chase-referrals yes
17.
idassert-bind bindmethod=simple
18.
binddn="CN=ldapsearch,CN=Users,DC=int,DC=example,DC=net"
19.
credentials="<passwd>"
20.
tls_cacert=/etc/ldap/certs/example-ADCA.crt
Fehlermeldung:
01.
5dd2f5ef /etc/ldap/slapd.conf: line 12: subordinate configuration needs a suffix.
02.
slaptest: bad configuration directory!
Aus dem Beitrag für subordinate werde ich leider nicht schlau:
https://linux.die.net/man/5/slapd.conf





Der anderen Link hat leider auch nicht geholfen:
https://gist.github.com/tuxfight3r/565dc060d2d5837f7349be9c0a1ea61b
Die Einstellungen bezüglich SSL für openldap habe ich ignoriert

/etc/ldap/slapd.conf
01.
include /etc/ldap/schema/core.schema
02.
include /etc/ldap/schema/cosine.schema
03.
include /etc/ldap/schema/inetorgperson.schema
04.
include /etc/ldap/schema/nis.schema
05.
include /etc/ldap/schema/misc.schema
06.

07.

08.
#Global options
09.
conn_max_pending 1000
10.
sockbuf_max_incoming 4194303
11.
loglevel 256
12.
sizelimit unlimited
13.
pidfile         /var/run/slapd/slapd.pid
14.
argsfile        /var/run/slapd/slapd.args
15.

16.
#LDAP Proxy Options
17.
modulepath /usr/lib/ldap
18.
moduleload back_ldap
19.
moduleload rwm
20.
database ldap
21.
suffix "dc=int,dc=example,dc=net"
22.
#subordinate
23.
rebind-as-user yes
24.
uri ldaps://hn-dc01.example.net
25.
chase-referrals no
26.
readonly yes
27.
protocol-version 3
28.
idassert-bind bindmethod=simple
29.
    binddn="CN=ldapsearch,CN=Users,dc=int,dc=example,dc=net"
30.
    credentials="<passwd>"
31.
    tls_reqcert=never
32.
    tls_cacert=/etc/ldap/certs/example-AdcA.pem
Command:
01.
ldapsearch -H ldap://localhost -x -LLL     -D "cn=ldapsearch,cn=Users,dc=int,dc=example,dc=net"     -b "cn=Users,dc=int,dc=tecin,dc=net"     -W  name -d 5
Result:
01.
ldap_url_parse_ext(ldap://localhost)
02.
ldap_create
03.
ldap_url_parse_ext(ldap://localhost:389/??base)
04.
ldap_sasl_bind
05.
ldap_send_initial_request
06.
ldap_new_connection 1 1 0
07.
ldap_int_open_connection
08.
ldap_connect_to_host: TCP localhost:389
09.
ldap_new_socket: 3
10.
ldap_prepare_socket: 3
11.
ldap_connect_to_host: Trying ::1 389
12.
ldap_pvt_connect: fd: 3 tm: -1 async: 0
13.
attempting to connect:
14.
connect success
15.
ldap_open_defconn: successful
16.
ldap_send_server_request
17.
ber_scanf fmt ({it) ber:
18.
ber_scanf fmt ({i) ber:
19.
ber_flush2: 79 bytes to sd 3
20.
ldap_result ld 0x55728b2db550 msgid 1
21.
wait4msg ld 0x55728b2db550 msgid 1 (infinite timeout)
22.
wait4msg continue ld 0x55728b2db550 msgid 1 all 1
23.
** ld 0x55728b2db550 Connections:
24.
* host: localhost  port: 389  (default)
25.
  refcnt: 2  status: Connected
26.
  last used: Mon Nov 18 21:07:00 2019
27.

28.

29.
** ld 0x55728b2db550 Outstanding Requests:
30.
 * msgid 1,  origid 1, status InProgress
31.
   outstanding referrals 0, parent count 0
32.
  ld 0x55728b2db550 request count 1 (abandoned 0)
33.
** ld 0x55728b2db550 Response Queue:
34.
   Empty
35.
  ld 0x55728b2db550 response count 0
36.
ldap_chkResponseList ld 0x55728b2db550 msgid 1 all 1
37.
ldap_chkResponseList returns ld 0x55728b2db550 NULL
38.
ldap_int_select
39.
read1msg: ld 0x55728b2db550 msgid 1 all 1
40.
ber_get_next
41.
ber_get_next: tag 0x30 len 40 contents:
42.
read1msg: ld 0x55728b2db550 msgid 1 message type bind
43.
ber_scanf fmt ({eAA) ber:
44.
read1msg: ld 0x55728b2db550 0 new referrals
45.
read1msg:  mark request completed, ld 0x55728b2db550 msgid 1
46.
request done: ld 0x55728b2db550 msgid 1
47.
res_errno: 52, res_error: <Proxy operation retry failed>, res_matched: <>
48.
ldap_free_request (origid 1, msgid 1)
49.
ldap_parse_result
50.
ber_scanf fmt ({iAA) ber:
51.
ber_scanf fmt (}) ber:
52.
ldap_msgfree
53.
ldap_err2string
54.
ldap_bind: Server is unavailable (52)
55.
        additional info: Proxy operation retry failed
56.
ldap_free_connection 1 1
57.
ldap_send_unbind
58.
ber_flush2: 7 bytes to sd 3
59.
ldap_free_connection: actually freed
Bitte warten ..
Mitglied: uv-valentin
19.11.2019 um 15:05 Uhr
Hallo jeschero,

vielleicht noch als alternativer Ansatz: UCS kommt mit OpenLDAP und neben vielem anderen mit einer optionalen, aber kostenfreien "AD-Connector"-Komponente, mit der man Benutzer und Gruppen aus einem Active Directory auslesen kann (per LDAPS). UCS selbst stellt das dann über OpenLDAP via LDAPS und LDAP bereit.
-> https://www.univention.de/produkte/univention-app-center/app-katalog/adc ...
Über UCS lassen sich dann auch weitere Apps wie z.B. ownCloud und Nextcloud mit fertiger LDAP-Anbindung installieren und einrichten.

Viele Grüße!
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
ActiveDirectory sync OpenLDAP
Frage von derhoeppiWindows Userverwaltung5 Kommentare

Hi, folgendes Szenario ist authentifizierungstechnisch abzudecken. Im Intranet gibt es ein AD. An dieser Stelle werden User und Gruppen ...

Netzwerkmanagement

Zentralisierter Anmeldeserver - OpenLDAP das Richtige?

Frage von BinaryBearNetzwerkmanagement1 Kommentar

Guten Abend zusammen, ich habe vor meine Netzwerkdienste wie OpenVPN- , FreeRadius-, Samba-Server sowie meine Nextcloud-Installation mit einheitlichen Zugangsdaten ...

Exchange Server

Activ Sync Mapi Imap Mobilgeräte Exchange

gelöst Frage von opc123Exchange Server5 Kommentare

Hallo, wie finde ich raus welchen Dienst Mobilgeräte verwenden? Ich soll dies Verbieten für alle mobilen Geräte und neu ...

Windows Server

Probl. b. Programminst. nach Netzlaufwerksbuchst.: invalid directory name specified or the removable media is not properly inserted

gelöst Frage von departure69Windows Server4 Kommentare

Hallo. Situation: - SBS 2008 AD-Domäne - versch. Memberserver, teils phys. teils virtuell, alle im selben Netz - Clients ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 4 TagenWindows Installation11 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 5 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 5 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 7 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Router & Routing
Mikrotik CRS305 4Port SFP+ Router-Switch, VMWare und Fritzbox (Netzwerk Internetproblem)
Frage von SickcultureRouter & Routing18 Kommentare

Auf der Suche nach Antworten im Netz kommt man unweigerlich auf eure Seite und die deutsche Mikrotik Blog Seite. ...

Windows Server
Netzwerk Planung Homeoffice
Frage von siopoqruipWindows Server17 Kommentare

Hallo, ich plane zurzeit ein kleines Netzwerk. 5-8 User jeder mit eigenem Laptop (Lenovo T590) Windows 10 Professional Homeoffice ...

MikroTik RouterOS
Mikrotik Router empfehlenswert?
gelöst Frage von matze2090MikroTik RouterOS16 Kommentare

Hallo, ich würde gerne mir Mikrotik anschauen. Reicht dieser Router zum erstmal Test? Er Kostet ca 23€. Ich habe ...

Firewall
Suche Hardware
Frage von snowflockeFirewall15 Kommentare

Ich habe derzeit eine Virtualisierte OpnSense im Einsatz und soweit funktioniert die auch wie sie soll, allerdings ist das ...