2
LDAP Verbindung zu Active Directory - Keine User gefunden
Bei dem Versuch die Benutzerdatenbank eines ActiveDirectory Servers mittels LDAP auf einen Linux Server zu spiegeln findet der Linux Server keine Benutzer.
Hallo zusammen,
ich arbeite gerade an einem Projekt bei dem ich einen Linux Server als Backupsystem für einen Windows 2003 Server konfigurieren soll.
Elementär für quasi alle Dienste ist in erster Linie eine Synchronisierung der Benutzerdatenbanken. Wie zu erwarten läuft auf dem 2003er System ActiveDirectory. Ich habe nach verschiedenen Anleitungen im Web gearbeitet und sämtliche LDAP sowie NSS Dienste (meines Erachtens) korrekt konfiguriert. Ich kann Anfragen an den LDAP Dienst senden und sogar mittels Webmin durch die LDAP Verzeichnisse browsen. Als Notlösung habe ich am Ende auch versucht die richtigen Search Bases mittels Webmin und LDAP Browser einzutragen, jedoch sagt sowohl Webmin "No users found" als auch "getent passwd" nur lokale User ausgibt.
Wie gesagt, die Search Bases sind offensichtlich korrekt konfiguriert, die LDAP Konfigurationsdateien habe ich mehrfach überprüft, Microsoft Services for Unix sind installiert und ich kann einfach keinen Fehler mehr finden. Ich habe den Eindruck das am Windows Server eine kleine Einstellung falsch ist. Hat jemand Erfahrung mit dem Thema und kann mir vielleicht sogar Beispielkonfigurationen schicken? Ich habe heute bereits das Linux System neu aufgesetzt - ohne Erfolg.
Ich würde mich über Lösungsvorschläge oder Schubser in die richtige Richtung sehr freuen,
lieben Gruß,
Bene
ich arbeite gerade an einem Projekt bei dem ich einen Linux Server als Backupsystem für einen Windows 2003 Server konfigurieren soll.
Elementär für quasi alle Dienste ist in erster Linie eine Synchronisierung der Benutzerdatenbanken. Wie zu erwarten läuft auf dem 2003er System ActiveDirectory. Ich habe nach verschiedenen Anleitungen im Web gearbeitet und sämtliche LDAP sowie NSS Dienste (meines Erachtens) korrekt konfiguriert. Ich kann Anfragen an den LDAP Dienst senden und sogar mittels Webmin durch die LDAP Verzeichnisse browsen. Als Notlösung habe ich am Ende auch versucht die richtigen Search Bases mittels Webmin und LDAP Browser einzutragen, jedoch sagt sowohl Webmin "No users found" als auch "getent passwd" nur lokale User ausgibt.
Wie gesagt, die Search Bases sind offensichtlich korrekt konfiguriert, die LDAP Konfigurationsdateien habe ich mehrfach überprüft, Microsoft Services for Unix sind installiert und ich kann einfach keinen Fehler mehr finden. Ich habe den Eindruck das am Windows Server eine kleine Einstellung falsch ist. Hat jemand Erfahrung mit dem Thema und kann mir vielleicht sogar Beispielkonfigurationen schicken? Ich habe heute bereits das Linux System neu aufgesetzt - ohne Erfolg.
Ich würde mich über Lösungsvorschläge oder Schubser in die richtige Richtung sehr freuen,
lieben Gruß,
Bene
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 108628
Url: https://administrator.de/contentid/108628
Printed on: April 24, 2024 at 06:04 o'clock
2 Comments
Latest comment
hi,
Das ist nicht möglich. Du wirst derzeit keinen vollwertigen Ersatz schaffen können.
Du kannst aktuell fast alle Aspekte einer Domäne mit Samba / heimdal / kerberos abfragen und abbilden aber mir ist nicht bekannt, dass du schemas unter Linux abbilden kannst....
Oder liege ich da falsch @all?
mfg
René
ich arbeite gerade an einem Projekt bei dem ich einen Linux Server als Backupsystem für einen Windows 2003 Server konfigurieren soll.
Das ist nicht möglich. Du wirst derzeit keinen vollwertigen Ersatz schaffen können.
Du kannst aktuell fast alle Aspekte einer Domäne mit Samba / heimdal / kerberos abfragen und abbilden aber mir ist nicht bekannt, dass du schemas unter Linux abbilden kannst....
Oder liege ich da falsch @all?
mfg
René
Da liegst du richtig. Ich habs mal versucht. Der Import des AD Schemas geht nicht, weil die Datentypen nicht kompatibel sind. Samba Version 4 will soll das Problem beheben, wie es heisst.
Somit gehe ich davon aus, dass hier nicht eine LDAP Synchronistaion oder Backup gemeint ist. Eventuell wird der LDAP Server auf dem Linux abgefragt und da der leer ist, kommt da mit "getent" natürlich nichts.
Da aber "NSS" angesprochen wurde, nehme ich an, dass der Linux LDAP Server ueberhaupt nicht benutzt wird.
Als erstes sollte man den "nscd" abschalten, dann ist eine Fehlerquelle weniger. Wenn alles fertig ist, kann man den wieder starten (/etc/init.d/nscd stop).
AD LDAP benötigt eine Authentifizierung. Daher muss binddn und bindpw korrekt sein in /etc/libnss-ldap.conf
Wenn das nicht stimmt, kann man das im Windows Event Viewer sehen.
Dann muss die Uebersetzung von AD nach Unix/Posix stimmen:
Wenn das "userPassword" gesetzt ist, dann wird mit "getent" das SFU passwort (moeglicherweise nicht identisch mit dem Windows User Passwort) angezeigt (als md5) und auch zur Authetifizierung genutzt. Wenn man das nicht will muss man krb5 installieren und im pam konfigurieren.
Somit gehe ich davon aus, dass hier nicht eine LDAP Synchronistaion oder Backup gemeint ist. Eventuell wird der LDAP Server auf dem Linux abgefragt und da der leer ist, kommt da mit "getent" natürlich nichts.
Da aber "NSS" angesprochen wurde, nehme ich an, dass der Linux LDAP Server ueberhaupt nicht benutzt wird.
Als erstes sollte man den "nscd" abschalten, dann ist eine Fehlerquelle weniger. Wenn alles fertig ist, kann man den wieder starten (/etc/init.d/nscd stop).
AD LDAP benötigt eine Authentifizierung. Daher muss binddn und bindpw korrekt sein in /etc/libnss-ldap.conf
Wenn das nicht stimmt, kann man das im Windows Event Viewer sehen.
Dann muss die Uebersetzung von AD nach Unix/Posix stimmen:
# Services for UNIX 3.5 mappings
# only search for users with unix attributes (UID)
nss_base_passwd ou=OU_Accounts,dc=example,dc=com?sub?&(msSFU30UidNumber=*)
nss_base_shadow ou=OU_Accounts,dc=example,dc=com?sub?&(msSFU30UidNumber=*)
# only search for groups with unix attributes (GID)
nss_base_group ou=OU_Groups,dc=example,dc=com?sub?&(msSFU30GidNumber=*)
nss_map_objectclass posixAccount User
nss_map_objectclass shadowAccount User
nss_map_attribute uid msSFU30Name
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute uniqueMember member
nss_map_attribute userPassword msSFU30Password
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute loginShell msSFU30LoginShell
nss_map_attribute gecos displayname
nss_map_objectclass posixGroup Group
pam_login_attribute msSFU30Name
pam_filter objectclass=User
pam_password adWenn das "userPassword" gesetzt ist, dann wird mit "getent" das SFU passwort (moeglicherweise nicht identisch mit dem Windows User Passwort) angezeigt (als md5) und auch zur Authetifizierung genutzt. Wenn man das nicht will muss man krb5 installieren und im pam konfigurieren.
