LDAP gegen eDir

Started by Ullrich, January 08, 2026, 02:42:42 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 08, 2026, 02:42:42 PM
hallo zusammen,

ich versuche mich gerade mit der LDAP Anbindung an unser eDir. Ich habe die zugelassenen User in einer Gruppe eingetragen. Also etwa so: cn=opnsense,ou=Gruppen,o=xyz. Der Tester sagt mir immer "UserDN not found". Setze ich den Container aber auf ou=user,o=xyz klappt es.
Ich möchte aber nicht alle User authorisieren, sondern eben nur die, die in einer bestimmten Gruppe sind. Auch ein memberOf=cn=opnsense,ou=Gruppen,o=xyz klappt nicht.
Hat hier jemand die LDAP-Auth gegen ein eDir so zum Laufen gebracht? Bin für jeden Hinweis dankbar.

OpnSense 25.7

Ullrich
January 08, 2026, 02:44:51 PM #1
OU und Gruppen sind unterschiedliche Dinge. Natürlich kannst du eine bestimmte OU als Base DN verwenden, dann werden nur Objekte unterhalb dieser OU überhaupt berücksichtigt.

Eine Gruppenmitgliedschaft kann man über

- memberOf Attribut beim User oder
- member Attribut in der Gruppe

umsetzen. Active Directory tut vollautomatisch beides. Ich weiß nicht, was OPNsense erwartet.

Grüße, hoffe das hilft etwas,
Patrick
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 08:06:52 AM #2
Hallo Patrick,
danke für deine Antwort.
Ja, ich weiß. Das Anmelden gegen eine OU klappt, aber eben nicht gegen eine Gruppe. Ich habe es wie gesagt mit memberof probiert - ohne Erfolg. Ich versuche es mal mit Member.
Ich könnte ja eine OU anlegen mit Aliasen der Benutzer, vielleicht klappt das ja auch. Würde aber den Aufbau des eDirs stören

Danke für den Hinweis.

Viele Grüße

Ullrich
Today at 11:44:08 AM #3
Moin,

Mit Aliasen in einer OU würde es klappen. Ist aber nicht elegant. Wir versuchen, die User immer alle in Gruppen zusammenzufassen.
Hat vielleicht noch jemand eine Idee wie ich gegen eine Gruppe in einer OU authentifizieren kann? Wie gesagt memberof hat für mich nicht geklappt. Vielleicht ist aber auch der Befehl falsch.

Danke

Ullrich
Today at 12:21:51 PM #4
Man kann natürlich Gruppenmitgliedschaften abfragen. Bei mir sieht das folgendermaßen aus (Active Directory):

Base DN: DC=intern,DC=meinefirma,DC=de
Authentication containers: OU=Mitarbeiter,DC=intern,DC= meinefirma,DC=de

Das bedeutet natürlich, sowohl die Mitarbeiter-Konten als auch die Gruppen müssen in dieser OU sein.

Extended Query: memberOf=CN=VPN-Users,OU=Mitarbeiter,DC=intern,DC= meinefirma,DC=de


Funktioniert so - nur Mitarbeiter in der Gruppe "VPN-Users" können sich authentifizieren.

HTH,
Patrick


Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions