Hallo,
schon lange ist meine LDAP Verbindungskonfiguration unangetastet.
Ich stelle fest das bei mir LDAP nur funktioniert wenn ich auf "memberof" vezichte, und statt dessen die Benuzer in einer OU abfrage.
So funktionierts:
domain.net
389
3
Bind credentials: CN=ldapuser,CN=Users,DC=domain,DC=net
Search scope: Entire Subtree
Base DN: DC=domain,DC=net
Authentication containers: OU=Tralala,OU=Standort,DC=domain,DC=net
Extended Query: &(objectClass=Person)
User naming attribute: sAMAccountName
So nicht: (früher hat es so jedoch..)
Extended Query: memberof=CN=VPN,OU=Gruppen,OU=Standort,DC=domain,DC=net
und so nicht:
Extended Query: &((objectClass=Person)(memberof=CN=VPN,OU=Gruppen,OU=Standort,DC=domain,DC=net)
Jemand eine Idee?
Mach die Abfragen mal per Klartext-LDAP auf Port 389 und schneide mit tcpdump mit:
tcpdump -n -i <interface> -s 0 -X port 389
In deinem zweiten extended query fehlt darüberhinaus eine schließende Klammer und die Position des & ist verkehrt, m.E. müsste der so aussehen:
(&(objectClass=Person)(memberof=CN=VPN,OU=Gruppen,OU=Standort,DC=domain,DC=net))
HTH,
Patrick
Danke für die Antwort.
Sorry, die abschliessende Klammer war wohl ein Kopierfehler meinerseits in diesen Beitrag.
Jedoch auch diese Schreibweise funktioniert nicht.
&(memberof=CN=VPN,OU=Gruppen,OU=Standort,DC=domain,DC=net)
Wie geschrieben hatte ich es immer funktionierend ohne "&" und Klammern "()" im Einsatz.
Nach einigem grübbeln fällt mir noch eine erwähnenswerte Änderung ein.
Die DCs wurden augetauscht. Vorher Windows Server 2016, jetzt 2022.
Die Ausgabe von: (Domainname und das enthaltene Kennwort ausgetauscht)
tcpdump -n -i lagg0 -s 0 -X port 389
20:48:30.429728 IP 10.8.0.1.20095 > 10.8.0.11.389: Flags [S], seq 3909578507, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 2594182541 ecr 0], length 0
0x0000: 4500 003c 0000 4000 4006 26a1 0a08 0001 E..<..@.@.&.....
0x0010: 0a08 000b 4e7f 0185 e907 6f0b 0000 0000 ....N.....o.....
0x0020: a002 fecc dcd2 0000 0204 05b4 0103 0307 ................
0x0030: 0402 080a 9aa0 158d 0000 0000 ............
20:48:30.430305 IP 10.8.0.11.389 > 10.8.0.1.20095: Flags [S.], seq 2340726580, ack 3909578508, win 65535, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
0x0000: 4500 0034 cc14 4000 8006 1a94 0a08 000b E..4..@.........
0x0010: 0a08 0001 0185 4e7f 8b84 a734 e907 6f0c ......N....4..o.
0x0020: 8012 ffff 8013 0000 0204 05b4 0103 0308 ................
0x0030: 0101 0402 ....
20:48:30.430346 IP 10.8.0.1.20095 > 10.8.0.11.389: Flags [.], ack 1, win 514, length 0
0x0000: 4500 0028 0000 4000 4006 26b5 0a08 0001 E..(..@.@.&.....
0x0010: 0a08 000b 4e7f 0185 e907 6f0c 8b84 a735 ....N.....o....5
0x0020: 5010 0202 bee4 0000 P.......
20:48:30.430492 IP 10.8.0.1.20095 > 10.8.0.11.389: Flags [P.], seq 1:62, ack 1, win 514, length 61
0x0000: 4500 0065 0000 4000 4006 2678 0a08 0001 E..e..@.@.&x....
0x0010: 0a08 000b 4e7f 0185 e907 6f0c 8b84 a735 ....N.....o....5
0x0020: 5018 0202 219a 0000 303b 0201 0160 3602 P...!...0;...`6.
0x0030: 0103 0426 434e 3d6c 6461 7075 7365 722c ...&CN=ldapuser,
0x0040: 434e 3d55 7365 7273 2c44 433d 666c 7572 CN=Users,DC=dom
0x0050: 7765 672c 4443 3d6e 6574 8009 466c 7572 ain,DC=net..Kenn
0x0060: 7765 6738 61 wort
20:48:30.432636 IP 10.8.0.11.389 > 10.8.0.1.20095: Flags [P.], seq 1:23, ack 62, win 8195, length 22
0x0000: 4500 003e cc15 4000 8006 1a89 0a08 000b E..>..@.........
0x0010: 0a08 0001 0185 4e7f 8b84 a735 e907 6f49 ......N....5..oI
0x0020: 5018 2003 d887 0000 3084 0000 0010 0201 P.......0.......
0x0030: 0161 8400 0000 070a 0100 0400 0400 .a............
20:48:30.432654 IP 10.8.0.1.20095 > 10.8.0.11.389: Flags [.], ack 23, win 514, length 0
0x0000: 4500 0028 0000 4000 4006 26b5 0a08 0001 E..(..@.@.&.....
0x0010: 0a08 000b 4e7f 0185 e907 6f49 8b84 a74b ....N.....oI...K
0x0020: 5010 0202 be91 0000 P.......
20:48:30.432928 IP 10.8.0.1.20095 > 10.8.0.11.389: Flags [P.], seq 62:266, ack 23, win 514, length 204
0x0000: 4500 00f4 0000 4000 4006 25e9 0a08 0001 E.....@.@.%.....
0x0010: 0a08 000b 4e7f 0185 e907 6f49 8b84 a74b ....N.....oI...K
0x0020: 5018 0202 534b 0000 3081 c902 0102 6381 P...SK..0.....c.
0x0030: c304 1e4f 553d 4e75 657a 6964 6572 732c ...OU=Standort,
0x0040: 4443 3d66 6c75 7277 6567 2c44 433d 6e65 DC=domain,DC=ne
0x0050: 740a 0102 0a01 0102 0100 0201 0001 0100 t...............
0x0060: a063 a321 040e 7361 6d61 6363 6f75 6e74 .c.!..samaccount
0x0070: 6e61 6d65 040f 7670 6e2e 7369 6d6f 6e2e name..vpn.user23.
0x0080: 6d6f 6269 6ca0 3ea3 3c04 086d 656d 6265 mobil.>.<..membe
0x0090: 726f 6604 3043 4e3d 5650 4e2c 4f55 3d47 rof.0CN=VPN,OU=G
0x00a0: 7275 7070 656e 2c4f 553d 4e75 657a 6964 ruppen,OU=Stand
0x00b0: 6572 732c 4443 3d66 6c75 7277 6567 2c44 ort,DC=domain,D
0x00c0: 433d 6e65 7430 2d04 0b64 6973 706c 6179 C=net0-..display
0x00d0: 4e61 6d65 0402 636e 0404 6e61 6d65 0404 Name..cn..name..
0x00e0: 6d61 696c 040e 7361 6d61 6363 6f75 6e74 mail..samaccount
0x00f0: 6e61 6d65 name
20:48:30.433656 IP 10.8.0.11.389 > 10.8.0.1.20095: Flags [P.], seq 23:45, ack 266, win 8194, length 22
0x0000: 4500 003e cc16 4000 8006 1a88 0a08 000b E..>..@.........
0x0010: 0a08 0001 0185 4e7f 8b84 a74b e907 7015 ......N....K..p.
0x0020: 5018 2002 d6a2 0000 3084 0000 0010 0201 P.......0.......
0x0030: 0265 8400 0000 070a 0100 0400 0400 .e............
20:48:30.433670 IP 10.8.0.1.20095 > 10.8.0.11.389: Flags [.], ack 45, win 514, length 0
0x0000: 4500 0028 0000 4000 4006 26b5 0a08 0001 E..(..@.@.&.....
0x0010: 0a08 000b 4e7f 0185 e907 7015 8b84 a761 ....N.....p....a
0x0020: 5010 0202 bdaf 0000 P.......
20:48:30.448597 IP 10.8.0.1.20095 > 10.8.0.11.389: Flags [P.], seq 266:273, ack 45, win 514, length 7
0x0000: 4500 002f 0000 4000 4006 26ae 0a08 0001 E../..@.@.&.....
0x0010: 0a08 000b 4e7f 0185 e907 7015 8b84 a761 ....N.....p....a
0x0020: 5018 0202 8858 0000 3005 0201 0342 00 P....X..0....B.
20:48:30.448640 IP 10.8.0.1.20095 > 10.8.0.11.389: Flags [F.], seq 273, ack 45, win 514, length 0
0x0000: 4500 0028 0000 4000 4006 26b5 0a08 0001 E..(..@.@.&.....
0x0010: 0a08 000b 4e7f 0185 e907 701c 8b84 a761 ....N.....p....a
0x0020: 5011 0202 bda7 0000 P.......
20:48:30.448994 IP 10.8.0.11.389 > 10.8.0.1.20095: Flags [.], ack 274, win 8194, length 0
0x0000: 4500 0028 cc17 4000 8006 1a9d 0a08 000b E..(..@.........
0x0010: 0a08 0001 0185 4e7f 8b84 a761 e907 701d ......N....a..p.
0x0020: 5010 2002 9fa7 0000 0000 0000 0000 P.............
20:48:30.449128 IP 10.8.0.11.389 > 10.8.0.1.20095: Flags [R.], seq 45, ack 274, win 0, length 0
0x0000: 4500 0028 cc18 4000 8006 1a9c 0a08 000b E..(..@.........
0x0010: 0a08 0001 0185 4e7f 8b84 a761 e907 701d ......N....a..p.
0x0020: 5014 0000 bfa5 0000 0000 0000 0000 P.............
Was willst du denn mit dem &, wenn du keine zwei Ausdrücke hast, die du AND-verknüpfen kannst?
(ausdruck1)
(&(ausdruck1)(ausdruck2))
Stimmt die Base DN? Schnapp dir Apache Directory Studio und bewirf den Server mal mit Queries, dann findet man das schon. Guck dir bei dem User mal die nemberOf Attribute an. Kann man alles in Directory Studio machen.
Ich habe zwar nicht ApacheDS verwendet sondern Nettools LDAP Search, funktioniert auf Anhieb:
(&(objectCategory=Person)(memberOf=CN=VPN,OU=Gruppen,OU=Standort,DC=domain,DC=net))
Und natürlich stimmen alle anderen Parameter.
Nur scheint das im Moment die opnSense LDAP nicht zu intressieren :-\
Was ist beim tcpdump der Unterschied zwischen den beiden Queries?