Problemchen bei LDAP Auth mit Extended Query memberof= Filter

[xCtrl]

Moin in die Runde,

es geht noch einmal um meinen Sonderfall von Kunden... hier der Aufbau.

   Telekom Glas
            :
      .-----+-----.
      |  Gateway  |  Fibertwist
      '-----+-----'
            |
        WAN
            |
    .-----+------.   
    | Opnsense |  -> OpenVPN C-S 10.10.255.0/24 mit Remote User Auth und LDAP Backend
    '-----+------'
            | LAN 198.51.100.254/24
            |
            |
            |
            | LAN 198.51.100.1/24
    .-----+--------.
    | LAN-Switch |  EDV-Raum
    '-----+--------'
      |      |      |         
      |      |      |         
     V10  V20 V30
    ...-----+------... (SRV-DC / 192.168.0.1)

Nachdem er nun endlich online ist, geht es weiter mit den VPN Tunneln mit OpenVPN. Bzw. noch ein schritt vorher, die LDAP Anbindung.

Während bei meinen anderen Kunden das OpenVPN mit Remote User Auth und LDAP Backend sauber läuft, stellt sich hier ein Problem ein, welches mich mit Fragezeichen hier sitzen lässt.

Das AD ist mit Schema Server 2016, stammt im Ursprung von einem SBS2003 und wurde bis hier in immer weiter migriert. DC ist ein Server 2019.

---------------------------------------
LDAP Backend:

Type: LDAP
Hostname: 192.168.0.1 -> IP vom SRV-DC
Port: 389
Transport: TCP
Version: 3

Bind Credentials: CN vom User opnsense
Password: ****

Search Scope: Entire Subtree
Base DN: DC=Kunde,DC=local

Auth Containers: meine OUs, wo sich die User und Gruppen befinden
Extended Query: memberOf=CN=VPN-User,OU....

User Naming Attr.: sAMAccountName

Read Properties: Check
Synchronize Groups: Check
Constraint Groups: kein Check

Limit Groups: Nothing
Auto User Creation: kein Check
Match case insensitive: Check

---------------------------------------

Mit dem Tester kann ich mich im Normalfall mit einem der User authentifizieren, der in der AD-Gruppe VPN-User drin ist. Bei jedem meiner Kunden klappt das zuverlässig. Bei diesem Kunden hier kommt das kuriose: Ich kann einen einzigen User, der Mitglied in der Gruppe ist, erfolgreich authentifizieren, die anderen User, die in der Gruppe drin sind, aber nicht.

Meldung:

The following input errors were detected:

    Authentication failed.
    error: User DN not found

Nehme ich Extended Query memberOf raus, kann ich die anderen User auch erfolgreich authentifizieren. Das Problem ist dann aber, ich kann JEDEN User in der OU authentifizieren, nicht nur die, in der Gruppe VPN-User. Um das einzuschränken, nutze ich das Feld Extended Query mit memberOf=[DN der Gruppe VPN-User].

Ich dachte mir, dass evtl. die LDAP Verbindung nicht korrekt konfiguriert ist, ggf. falsche Container genutzt wurden oder sogar die Gruppe VPN-User einen weg hat.

Was habe ich bis dahin gemacht?
- Check der LDAP Anbindung -> funzt, keine Fehler im LOG, ohne memberOf Filterung kann ich jeden im Tester authentifizieren
- Den einzigen Benutzer, den ich anmelden kann mit memberOf Filterung getestet. User aus der Gruppe rausgenommen -> Auth geht nicht, Meldung: error: User DN not found -> korrekt, da User nicht mehr in der VPN-User Gruppe -> User wieder in die Gruppe rein -> Auth erfolgreich. Das gleiche mit anderen Usern versucht, kein Erfolg, es bleibt dabei, User DN not found
- Neue AD Usergruppe erstellt, LDAP Config angepasst, User in Gruppe rein -> lässt sich keiner authentifizieren
- Neuen User erstellt, diesen nur in die Gruppe VPN-User bzw. meine Testgruppe gepackt -> Auth nicht erfolgreich
- Den einzig funktionierenden User gegengeprüft auf Gruppenzugehörigkeit, Attribute, etc.
- Kopie vom funktionierenden User erstellt und getestet -> Auth nicht erfolgreich, wenn memberOf eingerichtet ist.
- Beim Tester geschaut, welche Gruppen aufgelistet werden, wo der User Mitglied ist -> sieht korrekt aus
- Neue Opnsense parallel aufgesetzt ohne Import der Config und getestet, das Ergebnis ist reproduzierbar

Kurios ist gestern Abend gewesen, dass ich auf einmal zwei weitere User erfolgreich authentifizieren konnte, ohne dass ich an der Config oder beim User was geändert habe.. Hä?. Diese User sind von den Gruppen her identisch mit dem einzig funktionierenden User und sitzen auch in der gleichen OU.

Aktuell sitze ich hier mit einem seriösen "WTF-Moment". Kann sich das jemand erklären?

Gruß
Chris

[xCtrl]

kurz ausgrab:

nachdem ich keine Ahnung mehr habe, warum die Filterung der Gruppe nicht greift, habe ich am Ende, nach 4 Monaten sucherei, auf dem DC eine neue OU erstellt für die VPN User und diese dort reingepackt. Auf der Sense dann bei den Containern zur authentifizierung wird nun diese OU genutzt. Dann brauche ich hier keine Gruppe mehr, sondern VPN ist nur möglich für die, die in dieser OU drin sind.

So als Plan B geht das auch.

Von daher, erledigt