Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[gelöst] ldap Verbindung auf samba active directory domäne
« previous
next »
Print
Pages: [
1
]
Author
Topic: [gelöst] ldap Verbindung auf samba active directory domäne (Read 4361 times)
Elleni
Newbie
Posts: 5
Karma: 0
[gelöst] ldap Verbindung auf samba active directory domäne
«
on:
April 22, 2020, 06:32:50 pm »
Ich nutze folgende version: OPNsense 20.1.4-amd64, FreeBSD 11.2-RELEASE-p18-HBSD, OpenSSL 1.1.1f 31 Mar 2020 bisher mit lokaler Datenbank und das funktioniert wunderbar.
opnsense hat bei meiner Konfiguration 2 Netzwerkkarten, eine für das internet, welcher die externe ip von meinem Provider erhält, sowie ein internes netz im 10.x.x.x Bereich. Dieses Netz (lan) ist aus Sicht meines samba Servers das rote Netzwerk, in welchem der samba server eine vnic hat. dhcp server macht in diesem Netzwerk der opnsense router.
Das dritte Netzwerk (lokales lan) hat den Bereich 192.168.x.x und da ist der samba server dhcp und dns server.
Nun versuche ich den opnsense router mit ldap des samba servers zu verbinden.
Zu dem Zweck habe ich eine dritte nic (adlan) konfiguriert, und diese ins lokale lan (192.168.x.x) gesetzt. Ping des sambaservers funktioniert mit ip, und nachdem ich in unbound unter Überbrückung einen dns Eintrag erstellt habe auch mit hostnamen.
Trotz dem genauen befolgen der Dokumentation schaffe ich leider keine erfolgreiche Verbindung zu konfigurieren.
Um ein Problem auf Seiten des samba servers auszuschliessen, habe ich im lokalen lan Netzwerk einen anderen Server installiert (privacyidea), und damit erfolgreich eine ldapanbindung bewerkstelligen können. Dafür habe ich dort folgende Angaben dort eingetragen:
ServerURI: ldaps://ad.ourdomain.com
Base-DN: ou=Benutzer,dc=ad,dc=ourdomain,dc=com
Bind-DN: ldapservice@ad.ourdomain.work
Bind Password
Darum war ich relativ zuversichtlich, dass dies auch mit opnsense funktionieren sollte, aber ich erhalte ich bei der Auswahl der Auth. Container ein leeres Menu.
Bei Bind-DN habe ich gemäss Anleitung auch probiert, cn=ldapservice,CN=Benutzer, DC=ad,DC=ourdomain,DC=com einzutragen.
Ich habe alle drei Transportarten ausprobiert, habe bei hostname mittels ad.ourdomain.com und mittels Eintrag der IP versucht, leider immer mit dem gleichen Resultat. Beim Authcontainer erhalte ich ein leeres menu, wenn ich auf auswählen klicke.
Der einzige Unterschied zur erfolgreichen Abfrage auf dem privacyidea server, der mir auffällt, dass ich dort ldaps://ad.ourdomain.com eintrage, aber in opnsense eine ip oder hostnamen eintragen muss.
Da der Ping unter Schnittstellen/Diagnose beantwortet wird, scheint die grundsätzliche Verbindung zum samba host zu stehen.
Kann mir bitte jemand hier Hilfestellung leisten, was ich tun könnte, um herauszufinden, wo es klemmt? Ist es z.B. möglich, mittels Konsolenbefehlen zu prüfen, was der Fehler sein könnte?
Ich wäre sehr dankbar, falls jemand mir hier helfen könnte, meine Fehler in der Konfiguration zu finden, und diese ldapverbindung erfolgreich zu etablieren.
«
Last Edit: April 26, 2020, 06:28:55 pm by Elleni
»
Logged
Droppie391
Jr. Member
Posts: 55
Karma: 5
Re: ldap Verbindung auf samba active directory domäne
«
Reply #1 on:
April 23, 2020, 10:39:45 am »
hast du unter System-Einstellungen-Authentifizierung die LDAP Server auch ausgewählt? (mehrfach ist möglich, aber aufgepasst, die lokale Authentifizierung sollte man tunlichst nicht deaktivieren)
Logged
Elleni
Newbie
Posts: 5
Karma: 0
Re: ldap Verbindung auf samba active directory domäne
«
Reply #2 on:
April 23, 2020, 11:40:38 am »
Nein habe ich noch nicht, da ich beim Erstellen der ldap Anbindung schon Probleme habe, diese erfolgreich zu etablieren. Wenn ich beim Erstellen auf Auswählen klicke, erhalte ich bisher ja nur ein leeres Menu ohne Auswahl, ergo habe ich die ldap Verbindung noch gar nicht abspeichern können, und habe diese demzufolge auch noch nicht zur Auswahl. Ich gehe davon aus, dass dies erst gemacht wird, wenn ich einen Erfolgreichen Zugang erstellt habe?
Logged
Droppie391
Jr. Member
Posts: 55
Karma: 5
Re: ldap Verbindung auf samba active directory domäne
«
Reply #3 on:
April 23, 2020, 04:26:27 pm »
Sorry hab ich übersehen. Unsere Konfiguration ist schon eine Weile her aber ich erinnere mich vage, dass ich den Eintrag manuell eingeben musste... Es hat damals auch nicht auf Einmal geklappt.
Logged
Elleni
Newbie
Posts: 5
Karma: 0
Re: ldap Verbindung auf samba active directory domäne
«
Reply #4 on:
April 23, 2020, 08:37:04 pm »
Verstehe. Ich habe auch schon versucht, was mit manuellen Einträgen passiert, aber es bisher noch nicht geschafft mittels Prüfer erfolgreich zu authentifizieren.
Was muss denn für ein Samba AD eingetragen werden?
Domäne ist ad.ourdomain.com, darunter gibts eine OU Benutzer; darin liegen die Benutzer, unter anderem auch der Benutzer ldapservice.
Also habe folgendes eingetragen:
Benutzer-DN: cn=ldapservice,cn=Benutzer,dc=ad,dc=ourdomain,dc=com
Base-DN: dc=ad,dc=ourdomain,dc=com.
Bei Auth. container käme dann was manuell rein?
ou=Benutzer,dc=ad,dc=ourdomain,dc=com ?
Erweiterte Abfrage habe ich leer gelassen.
Ich habe es unverschlüsselt, mit STARTLS und verschlüsselt mit obengenannten Angaben versucht. Was wären die richtigen Entries?
Wie erwähnt kann ich von einem andern Server (privacyIDEA) eine LDAP Abfrage wie folgt erfolgreich konfigurieren:
ServerURI: ldaps://ad.ourdomain.com
Base-DN: ou=Benutzer,dc=ad,dc=ourdomain,dc=com (wobei die Afrage auch ohne OU Benutzer erfolgreich ist)
Bind-DN: ldapservice@ad.ourdomain.work sowie das zugehörige Passwort.
Edit: Ich sehe noch folgenden Fehler im Berichterstatter. Vielleicht gibt dies noch einen Hinweis und ist mit dem Problem im Zusammenhang?
PHP Warning: in_array() expects parameter 2 to be array, null given in /usr/local/www/system_authservers.php on line 756
«
Last Edit: April 23, 2020, 08:56:35 pm by Elleni
»
Logged
Droppie391
Jr. Member
Posts: 55
Karma: 5
Re: ldap Verbindung auf samba active directory domäne
«
Reply #5 on:
April 24, 2020, 02:02:14 pm »
bei uns sind unter System-Sicherheit-Aussteller noch das Chainzertifikat und die Serverzertikate der AD Server hinterlegt. Im Wiki steht, dass nur das Chainzertifikate benötigt wird, weshalb wir die Server ebenfalls dort haben weis ich nicht mehr. Die AD Server werden dann mit SSL auf Port 636 angebunden und das funktioniert tadellos.
Logged
Elleni
Newbie
Posts: 5
Karma: 0
Re: ldap Verbindung auf samba active directory domäne
«
Reply #6 on:
April 26, 2020, 06:23:03 pm »
Ich habe nun das Server Zertifikat in opnsense hinzugefügt. Endlich habe ich auch den Ort gefunden, wo steht, was das Problem sein könnte (System/Protokolldateien/Allgemein).
Die nachstehenden Meldungen generiere ich, indem ich über Prüfer den ldap Zugang auswähle, welchen ich unter Server abgespeichert habe, und mit einem domänen user teste. Bei Authcontainer habe ich untenstehenden Eintrag manuell gesetzt und gespeichert.
Ohne Zertifikat kam jeweils die Meldung:
opnsense: LDAP bind error [BindSimple: Transport encryption required.,Strong(er) authentication required]
Also wie Du schon gesagt hast, tls benötigt.
Einstellung verschlüsselt, aber noch ohne das Zertifikat:
opnsense: LDAP bind error [TLS: hostname does not match CN in peer certificate,Can't contact LDAP server]
Nun habe ich wohl das korrekte Zertifikat, denn die aktuelle Meldung lautet:
opnsense: LDAP bind error [80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 52e, v1db1,Invalid credentials]
Wahrscheinlich habe ich nun noch falsche Einträge beim Erstellen des Servers unter Zugang.
Wie wären diese korrekterweise ausgefüllt? Ich habs zurzeit wie folgt eingestellt:
Bind Zugangs Daten:
Benutzer-DN: cn=ldapservice,cn=Benutzer,dc=ad,dc=ourdomain,dc=com
PW: ldapservice PW
Suchbereich: Kompletter Unterbaum
Basis-DN: dc=ad,dc=ourdomain,dc=com
Authentifizierungs Kontainer: cn=Benutzer,dc=ad,dc=ourdomain,dc=com
Erweiterte Abfrage: &(objectClass=Person)
Benutzerbenennungsattribut: sAMAccountName
Edit: So, jetzt noch ou=Benutzer statt cn=Benutzer, und es funktioniert.
Vielen Dank auch für Deine Tips, welche mich in die richtige Richtung geschupst haben.
«
Last Edit: April 26, 2020, 06:33:32 pm by Elleni
»
Logged
Elleni
Newbie
Posts: 5
Karma: 0
Re: [gelöst] ldap Verbindung auf samba active directory domäne
«
Reply #7 on:
April 26, 2020, 09:31:14 pm »
Noch eine Frage. Da es sich um ein Letsencrypt Zertifikat handelt, muss dieses periodisch aktualisiert werden. Ich dachte, dass ich einen Script in einem Cronjob erstelle, um dieses Zertifikat und den Private Key sagen wir mal einmal im Monat vom sambaserver neu zu kopieren. Darum würde ich gern wissen, in welchem Pfad auf dem OPNsense Router die Server-Zertifikate abgelegt werden, welche im Webinterface unter System/Sicherheit/Zertifikate aufgelistet werden?
Muss nach dem Ersetzen der Zertifikate ein Dienst neu gestartet werden, und falls ja - wie würde der entsprechende Befehl lauten?
Logged
oachiacho
Newbie
Posts: 1
Karma: 0
Re: [gelöst] ldap Verbindung auf samba active directory domäne
«
Reply #8 on:
January 01, 2023, 07:29:42 pm »
Hello,
Sorry to answer in English as I'm not a German speaking person.
I faced the same issue and this was due to the fact that previously, I was having a full LDAP DN user name path (CN=myuseraccount,DC=mydomain,DC=local) in user name whereas now, it works with MYDOMAIN\myuseraccount
Best regards
Logged
micneu
Hero Member
Posts: 1912
Karma: 59
Re: [gelöst] ldap Verbindung auf samba active directory domäne
«
Reply #9 on:
January 01, 2023, 09:48:50 pm »
@oachiacho es gibt auch einen englischen bereich wo du direkt schreiben kannst. hier wird alles auf deutsch behandelt.
dir noch ein frohes neues jahr
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
Router/Firewall: pfSense+ 23.09 |
Hardware: Netgate 6100
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[gelöst] ldap Verbindung auf samba active directory domäne