skyerjoe 10 Geschrieben 4. April 2011 Melden Teilen Geschrieben 4. April 2011 Hallo zusammen Software: Windows 2008 Active Directory Ubuntu 10.04 RequestTracker Wir haben in unserem Unternehmen ein Tracking Issue Software Programm mit dem Namen Request Tracker implementiert. Jetzt haben wir gedacht, es wäre schön, wenn sich jeder mit seinem Benutzernamen des AD's auch in den Request Tracker einloggen könnte. Also RequestTracker config angepasst auf der LinuxKiste Und per LDAPSEARCH gecheckt, ob der AD-Server überhaupt erreichbar ist, und da liegt das Problem. Hier mal der Pastebin Link: Pastebin Ich bin mir nicht sicher wo der Fehler genau liegt. Habe was von Sicherheitsrichtlinien in diesem Zusammenhang gelesen, bloß weiß ich nicht hunderprozentig wo ich das ansetzen soll, da LDAP für micht relativ neu ist. Anderer Denkansatz war, das er einfach dem User kein Bind gewährt, aber da weiß ich auch nicht, wo ich das in Win2008 konfigurieren kann.# Wäre nett wenn mir da jemand ein bißchen unter die Arme greifen könnte danke skyerjoe Zitieren Link zu diesem Kommentar
unst 10 Geschrieben 4. April 2011 Melden Teilen Geschrieben 4. April 2011 ist denn der DC auf Port 389 erreichbar? oder blockt da ggf ne Firewall? Edit: iirc hat jeder user das recht für einen bind. oder irre ich mich da? Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 4. April 2011 Autor Melden Teilen Geschrieben 4. April 2011 ist denn der DC auf Port 389 erreichbar? oder blockt da ggf ne Firewall? Also laut nmap ist der port 389 offen .... grüße skyerjoe Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 4. April 2011 Melden Teilen Geschrieben 4. April 2011 Ich habe das mal unter Windows geprüft: Probiere mal: -h Myhost -D "MyDomain\User" -w "password" -b "'dc=sb, dc=local" -s sub "sAMAccountName=User" Myhost einfach als host, u.U. den FQDN anhängen. Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 5. April 2011 Autor Melden Teilen Geschrieben 5. April 2011 Also ich hab etz mal damit probiert eine Suche zu starten, aber ich denke meine Syntax is falsch wie gesagt ich kenn mich mit dem ldap zeug noch nicht so gut aus. sudo ldapsearch -h srv41.sbah.local -D "sbah.local\SBAOU\Benutzer\RT-USER" -w "password" -b "'dc=sbah, dc=local" -s sub "sAMAccountName=RT-USER" Wo is etz der Fehler von mir ? grüße skyerjoe Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 5. April 2011 Melden Teilen Geschrieben 5. April 2011 Probiere doch einfach den kurzen Domain-Namen (sbah ?): ldapsearch -h srv41.sbah.local -D "sbah\RT-USER" -w "password" -b "dc=sbah, dc=local" -s sub "sAMAccountName=RT-USER" Ausserdem war ein ein wohl überflüssiges ' Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 6. April 2011 Autor Melden Teilen Geschrieben 6. April 2011 @zahni: morgen, jo da scheint sich was zu tun ..:) Hier mal der Auszug: [bash] ldap - Pastebin.com Heißt das jetzt, das ich Abfragen über den ldap port starten kann? Reichen die Berechtigungen für eine SSO Authentifizierung?Wie kann ich rausfinden, mit welchem Authentifizierungsverfahren im moment auf dem AD Server die user Authentifiziert werden? grüße skyerjoe Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 6. April 2011 Melden Teilen Geschrieben 6. April 2011 Hm, was hat die LDAP-Abfrage das jetzt mit SSO zu tun ? Die kann nur verwendet werden, wenn der User bei der Anwendung seinen User und sein Password manuell eingibt. Wenn die User ohne zusätzliches "Password eingeben" in das System kommen sollten, musst Du prüfen, ob die Anwendung NTLM oder Kerberos unterstützt. Wobei Keberos das Mittel der Wahl sein sollte, obwohl man beim Einrichten u.U. leichte Kopfschmerzen bekommt... PS: Du solltest die sicherheitsrelevanten Informationen besser von dem Server da löschen. Dieses Forum wird von Google indiziert und sicher auch Pastebin -Zahni Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 6. April 2011 Autor Melden Teilen Geschrieben 6. April 2011 Du solltest die sicherheitsrelevanten Informationen besser von dem Server da löschen. Dieses Forum wird von Google indiziert und sicher auch Pastebin oh okay .. dachte nicht, das da infos sind, mit denen man was anfangen kann .... password steht ja zb nicht drin welche wären das denn, wo man sagen kann " Das ist ein Sicherheitsrisiko" damit ich das in Zukunft weiß Ich seh schon wenn man davon nicht soviel ahnung hat, sollte man a weng vorsichtiger sein grüße skyerjoe Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 7. April 2011 Autor Melden Teilen Geschrieben 7. April 2011 Okay vielleicht sollte ich das mal genauer beschreiben ... Mein Client: Ubuntu Server Anwendung: Request Tracker mit sso erweiterung Mein AD : windows 2008 server Was muss ich auf der AD seite genau für einstellungen vornehmen, damit eine rebungslose ldap abfrage seitens dem client gewährt werden kann? Ps: ich weiß dass das ein windows forum ist, aber könnte mal jemand über die configs in der erweiterung rüberschauen? wäre sehr nett.... [Perl] # AN EXAMPLE LDAP SERVICE Set($ExternalAuthPriority, - Pastebin.com grüße skyerjoe Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 7. April 2011 Melden Teilen Geschrieben 7. April 2011 Da gibt es doch sicher eine Doku für das Produkt, gelle ? Sorry, mir fehlt leider die Zeit dazu. Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 11. April 2011 Autor Melden Teilen Geschrieben 11. April 2011 @zahni: Da gibt es doch sicher eine Doku für das Produkt, gelle ? Ja es gibt eine aber über diese Erweiterung selber, gibts nicht viele Infos .. ne kurze Readme .. und das wars ... Dachte Vielleicht das mir vielleicht jemand sagen kann, ob das so passt .. oder wenigstens ob mit diesem ldap abfrage die Berechtigungen ausreichen .. naja muss ich halt mal selber schauen vielleicht find ich noch was :) grüße skyerjoe Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 13. April 2011 Autor Melden Teilen Geschrieben 13. April 2011 So also... ich poste etz mal mein Log : Tue Apr 12 14:55:49 2011] [debug]: Reloading RT::User to work around a bug in RT-3.8.0 and RT-3.8.1 (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/html/Elements/DoAuth:14) [Tue Apr 12 14:55:49 2011] [debug]: Attempting to use external auth service: My_LDAP (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:64) [Tue Apr 12 14:55:49 2011] [debug]: SSO Failed and no user to test with. Nexting (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:92) [Tue Apr 12 14:55:49 2011] [debug]: Attempting to use external auth service: My_MySQL (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:64) [Tue Apr 12 14:55:49 2011] [debug]: SSO Failed and no user to test with. Nexting (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:92) [Tue Apr 12 14:55:49 2011] [debug]: Attempting to use external auth service: My_SSO_Cookie (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:64) [Tue Apr 12 14:55:49 2011] [debug]: SSO Failed and no user to test with. Nexting (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:92) [Tue Apr 12 14:55:49 2011] [debug]: Autohandler called ExternalAuth. Response: (0, No User) (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/html/Elements/DoAuth:26) [Tue Apr 12 14:55:53 2011] [debug]: Reloading RT::User to work around a bug in RT-3.8.0 and RT-3.8.1 (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/html/Elements/DoAuth:14) [Tue Apr 12 14:55:53 2011] [debug]: Attempting to use external auth service: My_LDAP (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:64) [Tue Apr 12 14:55:53 2011] [debug]: SSO Failed and no user to test with. Nexting (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:92) [Tue Apr 12 14:55:53 2011] [debug]: Attempting to use external auth service: My_MySQL (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:64) [Tue Apr 12 14:55:53 2011] [debug]: SSO Failed and no user to test with. Nexting (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:92) [Tue Apr 12 14:55:53 2011] [debug]: Attempting to use external auth service: My_SSO_Cookie (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:64) [Tue Apr 12 14:55:53 2011] [debug]: SSO Failed and no user to test with. Nexting (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/lib/RT/Authen/ExternalAuth.pm:92) [Tue Apr 12 14:55:53 2011] [debug]: Autohandler called ExternalAuth. Response: (0, No User) (/opt/rt3/local/plugins/RT-Authen-ExternalAuth/html/Elements/DoAuth:26) Vielleicht kann mir da jemand a weng helfen was die Interpretation angeht ... grüße skyerjoe Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 14. April 2011 Autor Melden Teilen Geschrieben 14. April 2011 lso ich bin etz schon ein schritt weiter Bloß scheint er bei manchen Attributen, die ich ldap mitgebe nicht ganz mitzuspielen.... bei folgenden attributen startet der apache server nicht ... 'tls' => 0, ssl_version' => 3, 'net_ldap_args' => [ version => 3 ], 'group' => 'User', 'group' => 'GROUP_NAME', 'attr_match_list' => [ 'Name', # 'EmailAddress', ], # 'attr_map' => { 'Name' => 'sAMAccountName', #'EmailAddress' => 'mail', # 'Organization' => # 'Organization' => 'physicalDeliveryOfficeName', # 'RealName' => 'cn', # 'ExternalAuthId' => 'sAMAccountName', # 'Gecos' => 'sAMAccountName', # 'WorkPhone' => 'telephoneNumber', # 'Address1' => 'streetAddress', # 'City' => 'l', # 'State' => 'st', # 'Zip' => 'postalCode', # 'Country' => 'co' } } ); Vielleicht weiß jemand warum da nicht das perl script ausgeführt wird .... passt vielleicht dann doch was mit den Rechten oder Berechtigungen in der AD nicht .... grüße skyerjoe Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 15. April 2011 Autor Melden Teilen Geschrieben 15. April 2011 Ich schaffe das einfach ohne Hilfe nicht... Irgendwo muss ich ansetzen ich weiß weder, wo ich auf der AD Seite zB. sehen kann ob er sich mit der linux kiste verbindet, noch ob überhaupt ein request zustandekommt, oder aber das perl script nicht schon vorher fehlerhaft ist, und deshalb kein athentifizietrungsversuch mit dem ad zustandekommt .... kann mir da jemand helfen ? grüße skyerjoe Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.