Debian gegen LDAP/AD authentifizieren - Problem

polysign · Beitrag von **polysign** » 09.05.2007 17:23:51

Hallo,

habe einen Microsoft Server laufen mit ActiveDirectory mit über 100 Benutzer. Ich würde es gerne einrichten dass man sich mit dem LDAP-Benutzer auf der Debian-Machine einloggen kann.

Hab da also folgendes HOW-To genommen und NUR den Teil zum konfigurieren des Clients umgesetzt: http://enterprise.linux.com/enterprise/ ... ml?tid=129

Desweiteren hab ich noch folgendes gefunden, wo an sich das gleiche beschrieben wird: http://adminspotting.net/articles/windo ... ctory.html

Wenn ich nun ein "ldapsearch" machen will werd ich nach einem Passwort gefragt und geb auch eins ein, welches das Passwort des Benutzers ist welcher die administrativen Aufgaben in der Domäne bearbeiten soll.

Danach kommt aber leider folgendes:

Code: Alles auswählen

Enter LDAP Password:
ldap_bind: Invalid credentials (49)
        additional info: 80090308: LdapErr: DSID-0C090334, comment: AcceptSecurityContext error, data 525, vece

Hat jemand mehr Ahnung? Gibt es eine Möglichkeit dass ich mir im Hintergrund das Verbinden in eine LOG-Datei schreiben lassen kann um zu sehn WAS WO WIE passiert?

Pawel · Beitrag von **Pawel** » 10.05.2007 09:35:06

Code: Alles auswählen

80090308: LdapErr: DSID-0C09030B, comment: AcceptSecurityContext error, data 525, v893
HEX: 0x525 - user not found
DEC: 1317 - ERROR_NO_SUCH_USER (The specified account does not exist.)
NOTE: Returns when username is invalid.

Unter anderem hier gefunden.

Zusätzlich zu den anderen Parametern kannst du ldapsearch mit "-d" ein Debug Level setzen und damit mehr ausgeben lassen.

polysign · Beitrag von **polysign** » 10.05.2007 10:17:28

Hi, danke für den Tip! Hat mir ein wenig weiter geholfen eigentlich. Bin nämlich jetzt der Meinung dass beim ldap_bind KEIN Benutzer angegeben wird mit dem ich mich verbinden kann. Wie kann ich da einen Benutzer eingeben?

In iirgendeiner conf? Soviel ich verstanden habe werden da ja andere Benutzerdaten genommen wie die aus /etc/pam_ldap.conf oder?

Hier mal was ich ausgeführt habe:

ldapsearch -x -W -D "DN=intranet,DC=intern,DC=meinedomain,DC=com" -d 2

Und hier das Ergebniss:

Code: Alles auswählen

Enter LDAP Password:
  0000:  30 3e 02 01 01 60 39 02  01 03 04 2a 44 4e 3d 69   0>...`9....*DN=i
  0010:  6e 74 72 61 6e 65 74 2c  44 43 3d 69 6e 74 65 72   ntranet,DC=inter
  0020:  6e 2c 44 43 3d 66 72 65  79 2d 77 69 6c 6c 65 2c   n,DC=meinedomain,
  0030:  44 43 3d 63 6f 6d 80 08  45 4d 41 63 45 61 33 35   DC=com..passwort
ldap_write: want=64, written=64
  0000:  30 3e 02 01 01 60 39 02  01 03 04 2a 44 4e 3d 69   0>...`9....*DN=i
  0010:  6e 74 72 61 6e 65 74 2c  44 43 3d 69 6e 74 65 72   ntranet,DC=inter
  0020:  6e 2c 44 43 3d 66 72 65  79 2d 77 69 6c 6c 65 2c   n,DC=meindomain,
  0030:  44 43 3d 63 6f 6d 80 08  45 4d 41 63 45 61 33 35   DC=com..passwort
ldap_read: want=8, got=8
  0000:  30 84 00 00 00 67 02 01                            0....g..
ldap_read: want=101, got=101
  0000:  01 61 84 00 00 00 5e 0a  01 31 04 00 04 57 38 30   .a....^..1...W80
  0010:  30 39 30 33 30 38 3a 20  4c 64 61 70 45 72 72 3a   090308: LdapErr:
  0020:  20 44 53 49 44 2d 30 43  30 39 30 33 33 34 2c 20    DSID-0C090334,
  0030:  63 6f 6d 6d 65 6e 74 3a  20 41 63 63 65 70 74 53   comment: AcceptS
  0040:  65 63 75 72 69 74 79 43  6f 6e 74 65 78 74 20 65   ecurityContext e
  0050:  72 72 6f 72 2c 20 64 61  74 61 20 35 32 35 2c 20   rror, data 525,
  0060:  76 65 63 65 00                                     vece.
request done: ld 0x8057540 msgid 1

Pawel · Beitrag von **Pawel** » 10.05.2007 10:42:03

polysign hat geschrieben:Hi, danke für den Tip! Hat mir ein wenig weiter geholfen eigentlich. Bin nämlich jetzt der Meinung dass beim ldap_bind KEIN Benutzer angegeben wird mit dem ich mich verbinden kann. Wie kann ich da einen Benutzer eingeben?

Mit dem Parameter "-D", z.B.:

Code: Alles auswählen

-D "cn=ldapadmin,DN=intranet,DC=intern,DC=meinedomain,DC=com"

Schau dir zu den weiteren Parametern auch mal die manpage von ldapsearch an. (man ldapsearch)

polysign hat geschrieben:In iirgendeiner conf?

Das kannst du auch in die /etc/ldap/ldap.conf schreiben, dann wird dieser Benutzer genutzt, wenn man keinen anderen angibt:

Code: Alles auswählen

....
BINDDN cn=ldapadmin,DN=intranet,DC=intern,DC=meinedomain,DC=com
...

polysign hat geschrieben:Soviel ich verstanden habe werden da ja andere Benutzerdaten genommen wie die aus /etc/pam_ldap.conf oder?

Man kann alle Benutzer nehmen, die sich auch regulär an dem LDAP binden können, nur, das Suchergebnis wird davon abhängen. Wenn du z.B. die Suche mit Otto-Normal-User machst, dann wird das Ergebnis bei einer entsprechenden Konfiguration nicht die Werte des Passwortfeldes anzeigen. Machst du die Suche dagegen mit dem Admin User, dann solltest du auch die Passwörter (als Hash) sehen können. Das ganze ist in Abhängigkeit der Privilegien der einzelnen Benutzer.

//EDIT: *Hüstel* Dir ist hoffentlich klar, dass das LDAP Protokoll das Passwort unverschlüsselt übermittelt und man es aus dem obigen Debug rausfinden kann?

polysign · Beitrag von **polysign** » 10.05.2007 10:56:26

Zu deiner Bemerkung unten: Klar weiss ich das, deshalb hab ich ja "passwort" angegeben und nicht "gHui_?F33zhl"

Aber an sich ist es eh egal das es nur ein Test-Server mit einem Test-Account ist.

Nur eine letzte Frage: Mein Benutzer "intranet" befindet sich in einer OU=Spezielle. Muss ich dann den BINDDN anpassen oder ist das an sich egal?

Werd mir noma alles durchkucken und hoffentlich klappt es bald... Danke noma!

Pawel · Beitrag von **Pawel** » 10.05.2007 11:01:25

polysign hat geschrieben:Nur eine letzte Frage: Mein Benutzer "intranet" befindet sich in einer OU=Spezielle. Muss ich dann den BINDDN anpassen oder ist das an sich egal?

Du musst schon den kompletten distinguished Name angeben, z.B.:

Code: Alles auswählen

cn=ldapadmin,ou=adminis,ou=usw,dc=intranet,dc=france,dc=example,dc=org