6
Icinga AD Auth
Guten Abend werte Mit Admins,
da ich seit gefühlten 20 Stunden vor einer aktualisierten Icinga Installation sitze und solangsam die Wiresharkzeilen vor meinen Augen in sich verschwimmen folgende Frage:
1. Hat jemand bereits unter (Debian) Icinga 1.10 einen LDAP auth gegen ein MS AD (2012R2) durchbekommen?
2. Wie kann ich die Benutzerauthentifizierung ordentlich durch handeln?
Folgende Infos:
Angepasst wurde die File auth.xml.
Ich bekomme Anfragen vom Icinga Server ans LDAP durch, der findet auch den User mit dem Schema dom\user und ja, jetzt ist das Problem, dass icinga mir entweder den Benutzer nicht als auth annimmt. Oder dom/user nicht als Format.
Ich vermute das Problem liegt irgendwo an 5-20 Zeichen die ich ändern muss. Nur welche?
Tipps? Anmerkungen?
PS: Was ist ein "cound"?
LG,
Christian
da ich seit gefühlten 20 Stunden vor einer aktualisierten Icinga Installation sitze und solangsam die Wiresharkzeilen vor meinen Augen in sich verschwimmen folgende Frage:
1. Hat jemand bereits unter (Debian) Icinga 1.10 einen LDAP auth gegen ein MS AD (2012R2) durchbekommen?
2. Wie kann ich die Benutzerauthentifizierung ordentlich durch handeln?
Folgende Infos:
Angepasst wurde die File auth.xml.
Ich bekomme Anfragen vom Icinga Server ans LDAP durch, der findet auch den User mit dem Schema dom\user und ja, jetzt ist das Problem, dass icinga mir entweder den Benutzer nicht als auth annimmt. Oder dom/user nicht als Format.
[Thu Jan 30 21:44:14 2014] [debug] Auth.Provider.LDAP Error: Bad search filter (errno=-7,resource=269)
[Thu Jan 30 21:44:14 2014] [debug] Auth.Provider: Object (name=http-basic-authentication) initialized
[Thu Jan 30 21:44:14 2014] [debug] Auth.Dispatch: User cound not authorized (username=dom\me)Ich vermute das Problem liegt irgendwo an 5-20 Zeichen die ich ändern muss. Nur welche?
Tipps? Anmerkungen?
PS: Was ist ein "cound"?
LG,
Christian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 228237
Url: https://administrator.de/contentid/228237
Printed on: April 16, 2024 at 10:04 o'clock
6 Comments
Latest comment
Abend,
Hast du uns noch die Konfigruationsdatei?
Versucht du Web Classic oder New Web?
Hast du den Wiki Artikel dazu schon getestet?
Grüße
Dani
Hast du uns noch die Konfigruationsdatei?
Versucht du Web Classic oder New Web?
Hast du den Wiki Artikel dazu schon getestet?
Grüße
Dani
Abend,
Mist, @wireshark lines, dachte ich hätte icinga-web geschrieben, daher New ;)
Config:
[Ausschnit aus auth.xml]
PS: Ja, der Wiki Artikel war der Beginn der Odysee. ;)
Mist, @wireshark lines, dachte ich hätte icinga-web geschrieben, daher New ;)
Config:
[Ausschnit aus auth.xml]
<ae:parameter name="msad-ldap1">
<ae:parameter name="auth_module">AppKit</ae:parameter>
<ae:parameter name="auth_provider">Auth.Provider.LDAP</ae:parameter>
<ae:parameter name="auth_enable">true</ae:parameter>
<ae:parameter name="auth_authoritative">true</ae:parameter>
<ae:parameter name="auth_create">true</ae:parameter>
<ae:parameter name="auth_update">true</ae:parameter>
<ae:parameter name="auth_map">
<ae:parameter name="user_firstname">givenName</ae:parameter>
<ae:parameter name="user_lastname">sn</ae:parameter>
<ae:parameter name="user_email">mail</ae:parameter>
</ae:parameter>
<ae:parameter name="ldap_allow_anonymous">false</ae:parameter>
<ae:parameter name="ldap_dsn">ldap://ad_IP</ae:parameter>
<ae:parameter name="ldap_start_tls">false</ae:parameter>
<ae:parameter name="ldap_basedn">OU=Nutzer,DC=Firma,DC=Dom</ae:parameter>
<ae:parameter name="ldap_binddn">dom\LDAPUSER</ae:parameter>
<ae:parameter name="ldap_bindpw"><![CDATA[PASS]]></ae:parameter>
<ae:parameter name="ldap_userattr">uid</ae:parameter>
<ae:parameter name="ldap_filter_user"><![CDATA[(&(uid=__USERNAME__))]]></ae:parameter> PS: Ja, der Wiki Artikel war der Beginn der Odysee. ;)
Ich kann auf unsere Konfiguration ge
Hast statt dom\user mal user@fqdn.local versucht? Ansonsten Versuch mal cn=Username,ou=Test,.... Kenn ich so von OTRS.
Lass bei BaseDN mal die OU weg und schieb den User in OU Users. Einfach um die Tests zu vereinfachen.
Versuch es so:
<ae:Parameter name="ldap_userattr">sAMAccountName</ae:parameter>
<ae:parameter name="ldap_filter_user"><![CDATA[(&(sAMAccountName=_USERNAME_))]]></ae:parameter>
uid ist mir kein bekanntes LDAP Feld...
Hast statt dom\user mal user@fqdn.local versucht? Ansonsten Versuch mal cn=Username,ou=Test,.... Kenn ich so von OTRS.
Lass bei BaseDN mal die OU weg und schieb den User in OU Users. Einfach um die Tests zu vereinfachen.
Versuch es so:
<ae:Parameter name="ldap_userattr">sAMAccountName</ae:parameter>
<ae:parameter name="ldap_filter_user"><![CDATA[(&(sAMAccountName=_USERNAME_))]]></ae:parameter>
uid ist mir kein bekanntes LDAP Feld...
Ich habe ersteres wie zweiteres versucht
mit UPN geht gar nichts, mit dom\user erkennt er diesen wirft dann aber Fehler siehe oben. (@uid wie @sama...) Der LDAP Bind an sich geht. (Nutzer = User, hab ich wohl zu viel verallgemeinert ;) ). Aber wie gesagt, laut den Logs funktioniert alles bis zu dem Fehler oben und genau da häng ich jetzt schon eine Weile.
mit UPN geht gar nichts, mit dom\user erkennt er diesen wirft dann aber Fehler siehe oben. (@uid wie @sama...) Der LDAP Bind an sich geht. (Nutzer = User, hab ich wohl zu viel verallgemeinert ;) ). Aber wie gesagt, laut den Logs funktioniert alles bis zu dem Fehler oben und genau da häng ich jetzt schon eine Weile.
dn: cn=sample user,ou=people,dc=example,dc=com
objectClass: top
objectClass: inetOrgPerson
cn: sample user
uid: sampleuser
OK, alles auf 0.
Muss in Icinga für den Auth der Benutzer wirklich von Hand in Icinga angelegt werden mit ldap auth? Geht das nicht bequemer per OU aus der eben jeder User Zugriff hat?
Btw: Besten Dank für die PM @Dani
Muss in Icinga für den Auth der Benutzer wirklich von Hand in Icinga angelegt werden mit ldap auth? Geht das nicht bequemer per OU aus der eben jeder User Zugriff hat?
Btw: Besten Dank für die PM @Dani
Dazu auch noch folgendes: https://dev.icinga.org/issues/985