3
Probleme mit Zugriff via LDAP auf ActivDirectory
Hallo zusammen,
ich habe eine kleine Anwendung in PHP geschrieben, die Informationen via LDAP aus dem ActiveDirectory liest:
Funktioniert auf unserer Domäne auch wunderbar. Es ist eine Domäne, bestehend aus 3DC, alle W2K, zwei davon sind GC.
Nun ist eine neue Domäne in zweiseitiger Vertrauensstellung dazu gekommen. Zwei Domänencontroller, beide W2K8 R2 und beide GC.
Ich habe das Script überarbeitet
Würde er klappen, wäre ich gerade nicht am Tippen
Keine Suchtreffer...
Also habe ich mir Zugangsdaten für die zweite Domäne besorgt, weil ich dachte, die Vertrauensstellung sei das Problem:
Also genau wie mein funktionierender Code, nur auf Domäne2 geändert. Läuft ebenfalls nicht.
Der ldap_bind funktioniert noch reibungslos - der ldap_seach findet absolut nichts.
Hat jemand eine Idee, was ich hier noch tun kann oder welche Einstellung vermutlich anders gesetzt ist in Domäne 2? Das kann doch eigentlich nicht so schwer sein...
Ich danke und grüße euch!!
Maik87
ich habe eine kleine Anwendung in PHP geschrieben, die Informationen via LDAP aus dem ActiveDirectory liest:
$ds=ldap_connect("domaene.com",389);
$r=ldap_bind($ds,"domaene\\benutzername", "GeHeImEsKeNnWoRt");
$sr=ldap_search($ds,"DC=domaene, DC=com", "userPrincipalName=" .$user ."@domaene.com");
$info = ldap_get_entries($ds, $sr);
//weitere Verarbeitung von $info...Funktioniert auf unserer Domäne auch wunderbar. Es ist eine Domäne, bestehend aus 3DC, alle W2K, zwei davon sind GC.
Nun ist eine neue Domäne in zweiseitiger Vertrauensstellung dazu gekommen. Zwei Domänencontroller, beide W2K8 R2 und beide GC.
Ich habe das Script überarbeitet
$ds=ldap_connect("domaene.com",3268); //Port des GC
$r=ldap_bind($ds,"domaene\\benutzername", "GeHeImEsKeNnWoRt");
$sr=ldap_search($ds,"DC=domaene2, DC=com", "userPrincipalName=" .$user ."@domaene2.com"); //und hier wird in die fremde Domäne gesucht
$info = ldap_get_entries($ds, $sr);
//weitere Verarbeitung von $info...Würde er klappen, wäre ich gerade nicht am Tippen
Keine Suchtreffer...
Also habe ich mir Zugangsdaten für die zweite Domäne besorgt, weil ich dachte, die Vertrauensstellung sei das Problem:
$ds=ldap_connect("domaene2.com",389); //Domäne 2
$r=ldap_bind($ds,"domaene2\\benutzername", "GeHeImEsKeNnWoRt"); //Zugangsdaten zweite Domäne
$sr=ldap_search($ds,"DC=domaene2, DC=com", "userPrincipalName=" .$user ."@domaene2.com"); //suchen innerhalb der eigenen Domäne
$info = ldap_get_entries($ds, $sr);
//weitere Verarbeitung von $info...Also genau wie mein funktionierender Code, nur auf Domäne2 geändert. Läuft ebenfalls nicht.
Der ldap_bind funktioniert noch reibungslos - der ldap_seach findet absolut nichts.
Hat jemand eine Idee, was ich hier noch tun kann oder welche Einstellung vermutlich anders gesetzt ist in Domäne 2? Das kann doch eigentlich nicht so schwer sein...
Ich danke und grüße euch!!
Maik87
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 269472
Url: https://administrator.de/contentid/269472
Ausgedruckt am: 21.11.2024 um 16:11 Uhr
3 Kommentare
Neuester Kommentar
Moin,
vielleicht haben die User in Domäne zwei einfach keine UPNs ?!
Such mal nach SamAccountName, der sollte auf jeden Fall vorhanden sein
Gruß jodel32
vielleicht haben die User in Domäne zwei einfach keine UPNs ?!
Such mal nach SamAccountName, der sollte auf jeden Fall vorhanden sein
Gruß jodel32
Moin,
doch hat sie. SAN habe ich ebenfalls schon erfolglos versucht.
Einen kleinen Schritt habe ich aber schon gemacht.
Für neuere DC ist der Befehl
<code=php>
<?php
ldap_set_option($ds, LDAP_OPT_PROTOCOL_VERSION,3);
?>
notwendig. Bei unserem alten W2K nicht.
Jetzt funktioniert zumindest der letzte Codeabschnitt. Muss nur noch die Domänenübergreifende Suche funktionieren, sonst bringt die schönste Vertrauensstellung nichts
doch hat sie. SAN habe ich ebenfalls schon erfolglos versucht.
Einen kleinen Schritt habe ich aber schon gemacht.
Für neuere DC ist der Befehl
<code=php>
<?php
ldap_set_option($ds, LDAP_OPT_PROTOCOL_VERSION,3);
?>
notwendig. Bei unserem alten W2K nicht.
Jetzt funktioniert zumindest der letzte Codeabschnitt. Muss nur noch die Domänenübergreifende Suche funktionieren, sonst bringt die schönste Vertrauensstellung nichts
Muss nur noch die Domänenübergreifende Suche funktionieren, sonst bringt die schönste Vertrauensstellung nichts
Dafür brauchst du noch ein CrossRef Object in deiner ersten Domain im AD, auch wenn schon ein Trust besteht, wird das benötigt und es zwei unterschiedliche Forests sind:BTW. Deine Frage hattest du vor einem Jahr schon mal gestellt
Zugriff mit LDAP auf fremde Domäne mit Vertrauensstellung
Die kannst du ja dann entsorgen.
