LDAP Auth Problem

Started by Pimmal, November 14, 2016, 06:49:59 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
November 14, 2016, 06:49:59 PM
Hi,

ich habe einen Samba Domänen Controller, wenn ich jetzt LDAP Auth nutzen möchte bekomme ich bei unverschlüsselter Anfrage folgende Meldung:
opnsense: LDAP bind error (Strong(er) authentication required)

Nutze ich jetzt SSL Auth bekomme ich folgende Meldung:
opnsense: LDAP bind error (Can't contact LDAP server)

Kann mri hier jemand helfen?
November 14, 2016, 10:13:19 PM #1
Vielleicht hilft dir hier auch folgender LDAP Fix
https://forum.opnsense.org/index.php?topic=3904.0

November 15, 2016, 05:01:17 PM #2
Hi Pimmal,

Deswegen vielleicht?

https://github.com/opnsense/core/blob/master/src/opnsense/mvc/app/library/OPNsense/Auth/LDAP.php#L325

Ich frage Ad, er ist der Experte.


Grüße
Franco
November 15, 2016, 08:57:26 PM #3
Hi,
habe das von euch gelinkte File geändert, leider besteht der Fehler immer noch.
Das Problem besteht auch nur bei einem Samba AD, mit Microsoft AD geht es einwandfrei.

Der Samba AD funtkioniert auch einwandfrei da die WIndows CLientanmeldung Problemlos möglich ist.
November 15, 2016, 10:31:55 PM #4
SSL (LDAPS) ist aktuell nicht unterstützt. Klingt so als ob Samba AD darauf besteht, dann geht es natürlich nicht. Kurzfristig lässt sich das am Samba lösen, mittelfristig muss es bei uns über SSL möglich sein. Bitte um Rückmeldung falls das das genaue Problem ist. :)


Grüsse
Franco
November 15, 2016, 11:20:52 PM #5
Hey,

dies scheint keine Option zu sein:

error: --disable-gnutls given: Building the AD DC requires GnuTLS

Jetzt stellt sich für mich die Frage lohnt es sich bei OPNsense zu bleiben?
Ja --> es wird SSL Support züfif realisiert.
Nein --> das kann dauern
November 16, 2016, 07:25:01 AM #6
Hi Pimmal,

Das sieht mir nach einem Compile-Switch aus. Gibt es denn keine Möglichkeit Samba zu normalem LDAP auf 389 zu bringen?

Zu zügig kann ich am Freitag eine Aussage machen.


Grüsse
Franco
November 17, 2016, 04:59:30 PM #7
Hey Franco,

das ist ja das Problem, auf Port 389 ist die Meldung: LDAP bind error (Strong(er) authentication required

und biem kopilieren ohne TLS kommt: error: --disable-gnutls given: Building the AD DC requires GnuTLS

Per LDAP browser ist ein login nur möglich wenn man die Authentifizierung auf "GSS Negotiate" stellt.

Bin leidr kein AD experte und weiß jetzt ned wo der LDAP unterschiede zum MS AD macht. sorry.
Kann dir nur soviel Infos liefern damit du arbeiten und evtl helfen kannst.
November 17, 2016, 05:54:53 PM #8
Schau mal hier... https://www.samba.org/samba/security/CVE-2016-2112.html

smb.conf:

ldap server require strong auth = no

Sollte in dem Fall helfen. Ist keine Dauerlösung, aber für die Diagnose der beste Test.


Grüsse
Franco
November 17, 2016, 06:24:20 PM #9
Bringt nix diese Option: Strong Authentication Required
Print
Go Up Pages1
User actions