Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: Ullrich on January 08, 2026, 02:42:42 PM

Title: LDAP gegen eDir
Post by: Ullrich on January 08, 2026, 02:42:42 PM
hallo zusammen,

ich versuche mich gerade mit der LDAP Anbindung an unser eDir. Ich habe die zugelassenen User in einer Gruppe eingetragen. Also etwa so: cn=opnsense,ou=Gruppen,o=xyz. Der Tester sagt mir immer "UserDN not found". Setze ich den Container aber auf ou=user,o=xyz klappt es.
Ich möchte aber nicht alle User authorisieren, sondern eben nur die, die in einer bestimmten Gruppe sind. Auch ein memberOf=cn=opnsense,ou=Gruppen,o=xyz klappt nicht.
Hat hier jemand die LDAP-Auth gegen ein eDir so zum Laufen gebracht? Bin für jeden Hinweis dankbar.

OpnSense 25.7

Ullrich
Title: Re: LDAP gegen eDir
Post by: Patrick M. Hausen on January 08, 2026, 02:44:51 PM
OU und Gruppen sind unterschiedliche Dinge. Natürlich kannst du eine bestimmte OU als Base DN verwenden, dann werden nur Objekte unterhalb dieser OU überhaupt berücksichtigt.

Eine Gruppenmitgliedschaft kann man über

- memberOf Attribut beim User oder
- member Attribut in der Gruppe

umsetzen. Active Directory tut vollautomatisch beides. Ich weiß nicht, was OPNsense erwartet.

Grüße, hoffe das hilft etwas,
Patrick
Title: Re: LDAP gegen eDir
Post by: Ullrich on January 09, 2026, 08:06:52 AM
Hallo Patrick,
danke für deine Antwort.
Ja, ich weiß. Das Anmelden gegen eine OU klappt, aber eben nicht gegen eine Gruppe. Ich habe es wie gesagt mit memberof probiert - ohne Erfolg. Ich versuche es mal mit Member.
Ich könnte ja eine OU anlegen mit Aliasen der Benutzer, vielleicht klappt das ja auch. Würde aber den Aufbau des eDirs stören

Danke für den Hinweis.

Viele Grüße

Ullrich
Title: Re: LDAP gegen eDir
Post by: Ullrich on January 09, 2026, 11:44:08 AM
Moin,

Mit Aliasen in einer OU würde es klappen. Ist aber nicht elegant. Wir versuchen, die User immer alle in Gruppen zusammenzufassen.
Hat vielleicht noch jemand eine Idee wie ich gegen eine Gruppe in einer OU authentifizieren kann? Wie gesagt memberof hat für mich nicht geklappt. Vielleicht ist aber auch der Befehl falsch.

Danke

Ullrich
Title: Re: LDAP gegen eDir
Post by: Patrick M. Hausen on January 09, 2026, 12:21:51 PM
Man kann natürlich Gruppenmitgliedschaften abfragen. Bei mir sieht das folgendermaßen aus (Active Directory):

Base DN: DC=intern,DC=meinefirma,DC=de
Authentication containers: OU=Mitarbeiter,DC=intern,DC= meinefirma,DC=de

Das bedeutet natürlich, sowohl die Mitarbeiter-Konten als auch die Gruppen müssen in dieser OU sein.

Extended Query: memberOf=CN=VPN-Users,OU=Mitarbeiter,DC=intern,DC= meinefirma,DC=de


Funktioniert so - nur Mitarbeiter in der Gruppe "VPN-Users" können sich authentifizieren.

HTH,
Patrick


Text only | Text with Images