maik87
Goto Top

Probleme mit Zugriff via LDAP auf ActivDirectory

Hallo zusammen,

ich habe eine kleine Anwendung in PHP geschrieben, die Informationen via LDAP aus dem ActiveDirectory liest:

 
$ds=ldap_connect("domaene.com",389);  
$r=ldap_bind($ds,"domaene\\benutzername", "GeHeImEsKeNnWoRt");  
$sr=ldap_search($ds,"DC=domaene, DC=com", "userPrincipalName=" .$user ."@domaene.com");  
$info = ldap_get_entries($ds, $sr);

//weitere Verarbeitung von $info...

Funktioniert auf unserer Domäne auch wunderbar. Es ist eine Domäne, bestehend aus 3DC, alle W2K, zwei davon sind GC.

Nun ist eine neue Domäne in zweiseitiger Vertrauensstellung dazu gekommen. Zwei Domänencontroller, beide W2K8 R2 und beide GC.

Ich habe das Script überarbeitet
 
$ds=ldap_connect("domaene.com",3268); //Port des GC  
$r=ldap_bind($ds,"domaene\\benutzername", "GeHeImEsKeNnWoRt");  
$sr=ldap_search($ds,"DC=domaene2, DC=com", "userPrincipalName=" .$user ."@domaene2.com"); //und hier wird in die fremde Domäne gesucht  
$info = ldap_get_entries($ds, $sr);

//weitere Verarbeitung von $info...

Würde er klappen, wäre ich gerade nicht am Tippen face-smile
Keine Suchtreffer...

Also habe ich mir Zugangsdaten für die zweite Domäne besorgt, weil ich dachte, die Vertrauensstellung sei das Problem:
 
$ds=ldap_connect("domaene2.com",389); //Domäne 2  
$r=ldap_bind($ds,"domaene2\\benutzername", "GeHeImEsKeNnWoRt"); //Zugangsdaten zweite Domäne  
$sr=ldap_search($ds,"DC=domaene2, DC=com", "userPrincipalName=" .$user ."@domaene2.com"); //suchen innerhalb der eigenen Domäne  
$info = ldap_get_entries($ds, $sr);

//weitere Verarbeitung von $info...

Also genau wie mein funktionierender Code, nur auf Domäne2 geändert. Läuft ebenfalls nicht.
Der ldap_bind funktioniert noch reibungslos - der ldap_seach findet absolut nichts.


Hat jemand eine Idee, was ich hier noch tun kann oder welche Einstellung vermutlich anders gesetzt ist in Domäne 2? Das kann doch eigentlich nicht so schwer sein... face-wink


Ich danke und grüße euch!!

Maik87

Content-ID: 269472

Url: https://administrator.de/forum/probleme-mit-zugriff-via-ldap-auf-activdirectory-269472.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

114757
114757 17.04.2015 um 16:50:27 Uhr
Goto Top
Moin,
vielleicht haben die User in Domäne zwei einfach keine UPNs ?!
Such mal nach SamAccountName, der sollte auf jeden Fall vorhanden sein

Gruß jodel32
Maik87
Maik87 17.04.2015 um 17:05:39 Uhr
Goto Top
Moin,

doch hat sie. SAN habe ich ebenfalls schon erfolglos versucht.

Einen kleinen Schritt habe ich aber schon gemacht.

Für neuere DC ist der Befehl
<code=php>
<?php
ldap_set_option($ds, LDAP_OPT_PROTOCOL_VERSION,3);
?>


notwendig. Bei unserem alten W2K nicht.

Jetzt funktioniert zumindest der letzte Codeabschnitt. Muss nur noch die Domänenübergreifende Suche funktionieren, sonst bringt die schönste Vertrauensstellung nichts face-smile
114757
114757 17.04.2015 aktualisiert um 18:33:49 Uhr
Goto Top
Muss nur noch die Domänenübergreifende Suche funktionieren, sonst bringt die schönste Vertrauensstellung nichts
Dafür brauchst du noch ein CrossRef Object in deiner ersten Domain im AD, auch wenn schon ein Trust besteht, wird das benötigt und es zwei unterschiedliche Forests sind:

BTW. Deine Frage hattest du vor einem Jahr schon mal gestellt face-smile
Zugriff mit LDAP auf fremde Domäne mit Vertrauensstellung
Die kannst du ja dann entsorgen.