Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Icinga AD Auth

Frage Linux Linux Netzwerk

Mitglied: certifiedit.net

certifiedit.net (Level 4) - Jetzt verbinden

30.01.2014, aktualisiert 20.08.2014, 3817 Aufrufe, 6 Kommentare

Guten Abend werte Mit Admins,

da ich seit gefühlten 20 Stunden vor einer aktualisierten Icinga Installation sitze und solangsam die Wiresharkzeilen vor meinen Augen in sich verschwimmen folgende Frage:

1. Hat jemand bereits unter (Debian) Icinga 1.10 einen LDAP auth gegen ein MS AD (2012R2) durchbekommen?
2. Wie kann ich die Benutzerauthentifizierung ordentlich durch handeln?

Folgende Infos:

Angepasst wurde die File auth.xml.

Ich bekomme Anfragen vom Icinga Server ans LDAP durch, der findet auch den User mit dem Schema dom\user und ja, jetzt ist das Problem, dass icinga mir entweder den Benutzer nicht als auth annimmt. Oder dom/user nicht als Format.

01.
[Thu Jan 30 21:44:14 2014] [debug] Auth.Provider.LDAP Error: Bad search filter (errno=-7,resource=269) 
02.
 
03.
[Thu Jan 30 21:44:14 2014] [debug] Auth.Provider: Object (name=http-basic-authentication) initialized 
04.
[Thu Jan 30 21:44:14 2014] [debug] Auth.Dispatch: User cound not authorized (username=dom\me)
Ich vermute das Problem liegt irgendwo an 5-20 Zeichen die ich ändern muss. Nur welche?

Tipps? Anmerkungen?

PS: Was ist ein "cound"?

LG,

Christian
Mitglied: Dani
30.01.2014 um 23:01 Uhr
Abend,
Hast du uns noch die Konfigruationsdatei?
Versucht du Web Classic oder New Web?
Hast du den Wiki Artikel dazu schon getestet?


Grüße
Dani
Bitte warten ..
Mitglied: certifiedit.net
30.01.2014, aktualisiert um 23:13 Uhr
Abend,

Mist, @wireshark lines, dachte ich hätte icinga-web geschrieben, daher New ;)

Config:
[Ausschnit aus auth.xml]
01.
            <ae:parameter name="msad-ldap1"> 
02.
            <ae:parameter name="auth_module">AppKit</ae:parameter> 
03.
            <ae:parameter name="auth_provider">Auth.Provider.LDAP</ae:parameter> 
04.
            <ae:parameter name="auth_enable">true</ae:parameter> 
05.
            <ae:parameter name="auth_authoritative">true</ae:parameter> 
06.
            <ae:parameter name="auth_create">true</ae:parameter> 
07.
            <ae:parameter name="auth_update">true</ae:parameter> 
08.
                                                                                                         
09.
            <ae:parameter name="auth_map"> 
10.
                <ae:parameter name="user_firstname">givenName</ae:parameter> 
11.
                <ae:parameter name="user_lastname">sn</ae:parameter> 
12.
                <ae:parameter name="user_email">mail</ae:parameter>  
13.
            </ae:parameter> 
14.
 
15.
            <ae:parameter name="ldap_allow_anonymous">false</ae:parameter> 
16.
            <ae:parameter name="ldap_dsn">ldap://ad_IP</ae:parameter> 
17.
            <ae:parameter name="ldap_start_tls">false</ae:parameter> 
18.
            <ae:parameter name="ldap_basedn">OU=Nutzer,DC=Firma,DC=Dom</ae:parameter> 
19.
            <ae:parameter name="ldap_binddn">dom\LDAPUSER</ae:parameter> 
20.
            <ae:parameter name="ldap_bindpw"><![CDATA[PASS]]></ae:parameter> 
21.
            <ae:parameter name="ldap_userattr">uid</ae:parameter> 
22.
            <ae:parameter name="ldap_filter_user"><![CDATA[(&(uid=__USERNAME__))]]></ae:parameter> 
23.
 
PS: Ja, der Wiki Artikel war der Beginn der Odysee. ;)
Bitte warten ..
Mitglied: Dani
LÖSUNG 30.01.2014, aktualisiert 09.02.2014
Ich kann auf unsere Konfiguration ge
Hast statt dom\user mal user@fqdn.local versucht? Ansonsten Versuch mal cn=Username,ou=Test,.... Kenn ich so von OTRS.
Lass bei BaseDN mal die OU weg und schieb den User in OU Users. Einfach um die Tests zu vereinfachen.

Versuch es so:
<ae:Parameter name="ldap_userattr">sAMAccountName</ae:parameter>
<ae:parameter name="ldap_filter_user"><![CDATA[(&(sAMAccountName=_USERNAME_))]]></ae:parameter>

uid ist mir kein bekanntes LDAP Feld...
Bitte warten ..
Mitglied: certifiedit.net
30.01.2014, aktualisiert um 23:45 Uhr
Ich habe ersteres wie zweiteres versucht

mit UPN geht gar nichts, mit dom\user erkennt er diesen wirft dann aber Fehler siehe oben. (@uid wie @sAMA...) Der LDAP Bind an sich geht. (Nutzer = User, hab ich wohl zu viel verallgemeinert ;) ). Aber wie gesagt, laut den Logs funktioniert alles bis zu dem Fehler oben und genau da häng ich jetzt schon eine Weile.

01.
dn: cn=sample user,ou=people,dc=example,dc=com 
02.
objectClass: top 
03.
objectClass: inetOrgPerson 
04.
cn: sample user 
05.
uid: sampleuser
Bitte warten ..
Mitglied: certifiedit.net
31.01.2014 um 02:05 Uhr
OK, alles auf 0.

Muss in Icinga für den Auth der Benutzer wirklich von Hand in Icinga angelegt werden mit ldap auth? Geht das nicht bequemer per OU aus der eben jeder User Zugriff hat?

Btw: Besten Dank für die PM @Dani
Bitte warten ..
Ähnliche Inhalte
Sonstige Systeme
Checkmk vs Icinga
Frage von TechSimonSonstige Systeme4 Kommentare

Hallo Community, hat jemand Erfahrungen mit dem Einsatz von Check_mk und Icinga und kann mir hier Vergleiche bzw. Vor- ...

Monitoring
ICINGA HELP ME!!!
gelöst Frage von HighShooterMonitoring4 Kommentare

Hallo leute, ich wollte für meine Servern Icinga verwenden, nun ist die Frage, hat da jemand erfahrungen mit? Bzw ...

Monitoring
Shinken Vorteile gegenüber Icinga?
Frage von ScuzzyMonitoring6 Kommentare

Mahlzeit! Kann mir einer von euch die Vorteile vom Shinken gegenüber dem Icinga nennen? Wäre super nett! Vielen Dank ...

Debian
Icinga Eventlog Monitoren
Frage von roland123Debian1 Kommentar

Guten Tag Ich möchte mit meinem Icinga 1.6 bei einem Windowsserver gerne überwachen ob die Windowssicherung durchgeführt wurde. Hier ...

Neue Wissensbeiträge
Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 3 StundenWindows 101 Kommentar

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 5 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner2 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 1 TagRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Brainstorming, einfachste Option 1 getrenntes LAN (mit WAN zugang)
Frage von 132954LAN, WAN, Wireless13 Kommentare

Hi, folgendes: Wir bekommen eine Glasfaser Leitung, Und das sollte Optional so aussehen: Ein Modem/Router für das WAN, ein ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen12 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...

Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...