Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke LAN, WAN, Wireless

GELÖST

Pfsense Authentifizierung über LDAP

Mitglied: RalphT

RalphT (Level 1) - Jetzt verbinden

11.11.2014 um 10:45 Uhr, 5817 Aufrufe, 4 Kommentare

Moin,

ich habe hier eine pfsene 2.1.5 mit Alixboard aufgebaut. Ich wollte die Authentifizierung vom lokalen Manager auf Active Directory von Windows umstellen.

Ich habe in der AD eine OU mit dem Namen pfsense angelegt. In der OU ist eine Gruppe, die heißt "qwer". In dieser Gruppe sind 2 Nutzer drin.
Weiterhin habe ich einen Nutzer pfsense angelegt. Dieser dient zur Abfrage der LDAP-Datenbank.

In der pfsense habe ich folgendes gemacht:

Im User-Manager eine Gruppe mit dem gleichen Namen, wie in der AD (qwer) angelegt.
In dem Reiter Server unter "Authentication containers" den Button select gedrückt und die OU "pfsense" angewählt.
Das Feld wurde dann entprechend ausgefüllt.

Im Feld "Extended Query" folgendes eingetragen: memberOf=CN=qwer,OU=pfSense,DC=MEINE,DC=FIRMA,DC=DE

weiterhin haben die Felder folgende Einträge:

User naming attribute: samAccountName
Group naming attribute: cn
Group member attribute: memberOf

Dann unter dem Reiter Settings - Authentication Server - auf den neuen Eintrag unter Servers gezeigt und auf den Button "Save and Test" gedrückt.
Ergebnis war alles ok.

Jetzt die Authentifizierung unter Diagnostics- - Authentication getestet.
Hier gibt es einen Fehler und unter Status - System Logs kommt folgender Fehler:

php: /diag_authentication.php: ERROR! Either LDAP search failed, or multiple users were found.

Kann mir hier jemand weiterhelfen?
Mitglied: Chonta
11.11.2014 um 12:38 Uhr
Hallo,

wenn das AD die autentifizierung übernehmen soll, warum dann bitte eine Gruppe mit gleichem Namen auf der pfsense?
Sagt das Log vom DC was über fehlerhafte Loginversuche / werdne die gelogt?

Gruß

Chonta
Bitte warten ..
Mitglied: RalphT
11.11.2014 um 12:58 Uhr
Das mit der gleichen Gruppe steht in diesem Link:

https://forum.pfsense.org/index.php?topic=44689.0

Auf dem DC steht leider nichts dazu. Auf dem DC ist nur der erfolgreiche Login von dem User, den ich unter "Bind credentials" hinterlegt habe.

Die pfsense sagt leider nur das:
"php: /diag_authentication.php: ERROR! Either LDAP search failed, or multiple users were found."
Bitte warten ..
Mitglied: RalphT
13.11.2014 um 09:03 Uhr
So, nun habe ich den Fehler gefunden. Wichtig hierbei ist folgendes zu beachten:

Im Feld "Authentication containers" kommen alle OUs rein, in denen Nutzer hinterlegt sind. Bei mir ist die AD etwas größer, als bei den gezeigten Beispielen im Netz. Wenn z.B. Nutzer in weiteren OUs verschachtelt sind, dann müsen diese auch in diesem Feld angegeben werden. Hier macht es der "Select-Button" sehr einfach. Wenn man ihn anklickt, dann wird einem das gesamte AD angezeigt. Hier macht man einfach nur die Häcken, wo die Nutzer hinterlegt sind.

Das Feld "Extended Query" bleibt frei.

Im Feld "bind creditals" habe ich die Anmeldung wie folgt eingetippt: cn=pfsense,OU=pfSense,OU=Nutzer,OU=Hannover,OU=Automobile,dc=hannover,dc=firma,dc=de
(Das ist natürlich nur ein Beispiel). Hier ist der Nutzer zum Anmelden in der AD "pfsense" in der OU"pfsense".

Hier sollte man auch einen Nutzer nehmen, der in der AD keine Rechte hat. Habe schon gesehen, dass manche sogar einen Domänenadmin genommen haben.

Wichtig ist noch, dass "Search scope" mit "Entire Subtree" gewählt wird, damit die pfsense auch die gesamte AD durchsuchen kann.
Bitte warten ..
Mitglied: Chonta
24.11.2014 um 10:33 Uhr
Hallo,

ein und das selbe AD Objekt kann immer nur in einer OU sein!
Aber um das Objekt über LDAP anzusprechen, muss natürlich der ganze LDAP-Pfad angegeben werden.
Was für einen Benutzer Du nimmst kommt darauf an was der können muss. Lesezugriff hat jeder Benutzer aber ggf nicht auf alles im AD!

Gruß

Chonta
Bitte warten ..
Ähnliche Inhalte
Internet
Intranet - LDAP Authentifizierung - Aufbau
gelöst Frage von Otto1699Internet2 Kommentare

Hallo, ich möchte unser Intranet, dass zur Zeit einige php Seiten mit Formularen und mysql Anbindung hat erweitern. Einige ...

Samba
Samba Server mit LDAP Authentifizierung
Frage von adm2015Samba2 Kommentare

Hallo zusammen, ich bin langsam echt am verzweifeln. Ich habe bereits mehrere Tage versucht folgendes Szenario einzurichten und komme ...

Router & Routing
PfSense WLAN mit Radius Authentifizierung
Frage von JudgeDreddRouter & Routing15 Kommentare

Hallo Zusammen, ich habe zur Zeit pfSense 2.1 auf FreeBSD 8.3p11 laufen. Nun würde ich gerne, wie bereits der ...

LAN, WAN, Wireless
WLan Authentifizierung über Freeradius mit EAP und ldap
Frage von KubaschiLAN, WAN, Wireless6 Kommentare

Hallo zusammen, Ich bin neuer Azubi als Fachinformatiker und habe gleich eine knackige Aufgabe von meinem Chef gestellt bekommen. ...

Neue Wissensbeiträge
Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 16 StundenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 16 StundenSicherheit10 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 17 StundenSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Sicherheit

Meltdown und Spectre: Die machen uns alle was vor

Information von Frank vor 17 StundenSicherheit12 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Heiß diskutierte Inhalte
Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von 92943Windows 1031 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell29 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
gelöst Frage von Windows10GegnerNetzwerkgrundlagen21 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...