todde_hb 4 Geschrieben 18. Oktober 2023 Melden Teilen Geschrieben 18. Oktober 2023 Hi zusammen, möchte gerade ein Nextcloudinstanz mit dem AD via Ldaps verbinden. Nextcloud bekommt allerding keine Verbindung zustande. Jetzt weiss ich nicht, ob es an Nextcloud, oder am Ad bzw. DC liegt. Auf dem DC habe ich ldap.exe gestartet und vie Hostname eine Verbindung mit ldaps Port 636 aufbauen können. Danach habe ich inder Firewall vom DC eine neue Regel erstellt, dass Port 636, sowohl TCP als auch UDP, freigeben wird. Aber Nextcloud verweigert die Verbindung. Normals Ldap klappt ohne Probleme. Hat jemand einen Tipp? ciao, todde_hb Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 18. Oktober 2023 Melden Teilen Geschrieben 18. Oktober 2023 Moin, hier wäre eine Fehlermeldung jetzt möglicherweise hilfreich. Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 18. Oktober 2023 Melden Teilen Geschrieben 18. Oktober 2023 Hi, vertraut die Nextcloud Instanz dem gebundenen Zertifikat bzw. kannst du für die LDAPs Verbindung (testweise) konfigurieren, jedem Zertifikat zu trauen? Beim Verbindungsversuch per LDAPs siehst du auf der Firewall Traffic, der erlaubt wird? Gruß Jan Zitieren Link zu diesem Kommentar
todde_hb 4 Geschrieben 18. Oktober 2023 Autor Melden Teilen Geschrieben 18. Oktober 2023 Also Firewall blockt erstmal nicht. 2023-10-18 10:15:13 ALLOW TCP 192.168.55.1 192.168.1.250 13727 636 0 - 0 0 0 - - - RECEIVE Nextcloud.log sagt zu dem Thema rein gar nichts. Was genau ist mit dem Zertifikat gemeint? Sehe bei Nexcloud keinen Hinweis, dass man Zertifikaten vertrauen soll/muss Habe diesen Artikel gefunden. Werde ihn mal abarbeiten. Evtl. ist das die Lösung. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 18. Oktober 2023 Melden Teilen Geschrieben 18. Oktober 2023 vor 27 Minuten schrieb todde_hb: Danach habe ich inder Firewall vom DC eine neue Regel erstellt, dass Port 636, sowohl TCP als auch UDP, freigeben wird. Wozu? Das ist standardmäßig erlaubt. Wär ja auch b***d, wenn ein LDAP Verzeichnis nicht erreichbar wäre, oder? Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 18. Oktober 2023 Melden Teilen Geschrieben 18. Oktober 2023 vor 4 Minuten schrieb todde_hb: Was genau ist mit dem Zertifikat gemeint? Das "S" in LDAPS steht für SZertifikat. ;) Die Nextcloud muss dem Zertifikat dann scheinbar vertrauen: Activate LDAP over SSL - ℹ️ Support - Nextcloud community Zitat ... You have to export the certificate from the Domain Controller, and put it on your server under /etc/ssl/certs (could be different depending on your operating system, i assume ubuntu here). Then you reference the cert file under /etc/ldap/ldap.conf ... 1 Zitieren Link zu diesem Kommentar
todde_hb 4 Geschrieben 18. Oktober 2023 Autor Melden Teilen Geschrieben 18. Oktober 2023 vor 7 Stunden schrieb testperson: Das "S" in LDAPS steht für SZertifikat. ;) Die Nextcloud muss dem Zertifikat dann scheinbar vertrauen: Activate LDAP over SSL - ℹ️ Support - Nextcloud community Ja, danke. Das habe ich auch bereits herausgefunden, ABER welches Zertifikat muss ich exportieren.?Aus dem von dir verlinkten Artikel geht das nicht so hervor, oder ich bin einfach zu b***d das zu checken. Ich habe auf dem DC nur ein CA Zertifikat im personal store, sowie einige von Veeam erzeugte. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 18. Oktober 2023 Melden Teilen Geschrieben 18. Oktober 2023 vor 7 Minuten schrieb todde_hb: ABER welches Zertifikat muss ich exportieren.? Das von der ausstellenden CA und ggf. auch das dazugehörige Root CA. NICHT exportieren musst du das eigentliche Service Zertifikat. Zitieren Link zu diesem Kommentar
todde_hb 4 Geschrieben 18. Oktober 2023 Autor Melden Teilen Geschrieben 18. Oktober 2023 vor 7 Stunden schrieb NorbertFe: Wozu? Das ist standardmäßig erlaubt. Wär ja auch b***d, wenn ein LDAP Verzeichnis nicht erreichbar wäre, oder? Absolut, aber ich traue Microsoft alles zu, auch dass sie sich selbst blockieren. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 18. Oktober 2023 Melden Teilen Geschrieben 18. Oktober 2023 Naja ein ldp zeigt dir sehr schnell, dass das nicht so ist. ;) Aber bitte, jeder soll mit seiner eigenen Paranoia glücklich werden. :) Zitieren Link zu diesem Kommentar
todde_hb 4 Geschrieben 18. Oktober 2023 Autor Melden Teilen Geschrieben 18. Oktober 2023 vor 2 Minuten schrieb NorbertFe: Das von der ausstellenden CA und ggf. auch das dazugehörige Root CA. NICHT exportieren musst du das eigentliche Service Zertifikat. Ehrlich, du sprichst spanisch. Ich poste mal nen Screenshot. 1 und 2 habe ich bereits exportiert und auf dem Nextcloud Server ausprobiert bzw. gespeichert und in der ldap.conf verlinkt. Ohne Erfolg vor 1 Minute schrieb NorbertFe: Naja ein ldp zeigt dir sehr schnell, dass das nicht so ist. ;) Aber bitte, jeder soll mit seiner eigenen Paranoia glücklich werden. :) Das war ja von localhost. Mit Paranoia hat das weniger zu tun, eher mit meiner persönlichen Erfahrung. Microsoft denkt zu wenig die armen Admins bei der Gestaltung der User-Experience. Wie gesagt, nur meine persönliche Einschätzung. Aber back to topic Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 18. Oktober 2023 Melden Teilen Geschrieben 18. Oktober 2023 Du wirst doch wohl mal dein Zertifikat welches vom LDAP genutzt wird anzeigen können. ;) Dann brauchst du die Kette ohne das eigentliche Zertifikat, denn das braucht ja nur der LDAP Service. Wenn dein DC auch CA ist, dann schau einfach in trusted root certification authorities und such dein CA Zert raus. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 18. Oktober 2023 Melden Teilen Geschrieben 18. Oktober 2023 Da dein DC scheinbar deine Zertifizierungsstelle ist, sollte es reichen "1" ohne private Key zu exportieren und in der Nextcloud entsprechend zu importieren. Zitieren Link zu diesem Kommentar
todde_hb 4 Geschrieben 18. Oktober 2023 Autor Melden Teilen Geschrieben 18. Oktober 2023 vor 11 Minuten schrieb testperson: Da dein DC scheinbar deine Zertifizierungsstelle ist, sollte es reichen "1" ohne private Key zu exportieren und in der Nextcloud entsprechend zu importieren. Habe ich auch so gemacht, alsx.509 und Base64 encoded. Dann unter /etc/ssl/certs/ldaps.crt abgespeichert und dann in der ldap.conf link drauf. Klappt nicht. In der nexcloud.log sehe ich dann dies Line":146,"message":"OC\\ServerNotAvailableException: Lost connection to LDAP server.","exception":{},"CustomMessage":"OC\\ServerNotAvailableException: Lost connection to LDAP server."}} Aber dieser logeintrag korreliert zeitlich nicht mit meiner Konfig in der Nextcloud Gui. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 19. Oktober 2023 Melden Teilen Geschrieben 19. Oktober 2023 So einfach ist das jetzt leider nicht. Bei LDAPS kannst Du nicht festlegen, welches Zertifikat verwendet wird... Da mußt dann "remote" schauen, welches im SSL-Handshake präsentiert wird. Soweit ich weiß, wird von allen, die "Server-Auth" haben, das neueste genommen. Test: https://github.com/daabm/PowerShell/blob/master/Scripts/Test-TcpPorts.ps1 Aufrufen mit -Ports 636 -IncludeSSL -SSLPorts 636, dann siehst zumindest mal welche SAN und so im Cert stehen. Wenn Du's genauer weissen willst: -PassThru anhängen und das Ergebnis speichern, dann hast ein Objekt, in dem das Cert drinsteckt inkl. .Save( "Dateiname" ) Methode. Aber jetzt wird's zu esoterisch Das mit "muß der CA-Kette vertrauen" steht oben ja schon. Ich weiß übrigens nicht, ob LDAPS mit SelfSigned überhaupt funktioniert, nie probiert mangels Umgebung ohne CA 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.