Nach erfolgreicher Einrichtung eines LDAP Servers auf einer Synology Diskstation sollte der nächste Schritt sein, die Weiterleitung der in der Firewall eingehenden Mails vom LDAP-Verzeichnis abhängig zu machen. Leider war ich bis jetzt nicht erfolgreich. Das Livelog zeigt die folgende Fehlermeldung:
r5EEbacf025251: SYSERR(root): ldap_init/ldap_bind failed to 192.168.22.198 in map ldapmra: Protocol error
Der LDAP Server ist korrekt eingerichtet. Sowohl mit Mozilla's Thunderbird als auch mit dem LDAP Admintool von Tihomir Karlovic (http//www.ldapadmin.org) ist problemlos Anmeldung bzw. Datenaustausch möglich. Verwirrung herscht bei mir über die korrekten Angaben in "EXTERNE AUTHENTIFIZIERUNG" im Bereich LDAP. Nachdem ich schon mit viel Fantasie Werte ausprobiert habe nun der Hilferuf ins Forum.
Meine Werte in der Diskstation:
FQDN: syno.mydomain.de
Base: dc=syno,dc=mydomain,dc=de
Bind: uid=root,cn=users,dc=syno,dc=mydomain,dc=de
Punkt 1: Wert im Feld 'IP oder Hostname:'
In der Dokumenation der V11 finde ich ldap://ldap.example.com
Frage 1: Warum ist hier ein Protokoll angegeben?
Frage 2: Geht der Eintrag noch weiter? (Leider ist mal wieder das Eingabefeld viel zu kurz geraten)
Frage 3: Ist syno.mydomain.de bzw 192.168.22.198 in meinem Fall der richtige Wert?
Punkt 2: Wert im Feld 'Base:'
In der Dokumentation finde ich 'DC=example,DC.com'
Frage 1: Fehlt da nicht der Name des LDAP Servers
Frage 2: Wäre in meinem Fall nicht dc=syno,dc=mydomain,dc=de korrekt?
Punkt 3: Wert im Feld 'Benutzername:'
Der Beispielname aus der Dokumentation ist ldap-user
Frage: Was ist der richtige Wert
a.) root
b.) root@syno.mydomain.de
c.) root@mydomain.de
d.) oder vielleicht uid=root,cn=users,dc=syno,dc=mydomain,dc=de
LDAP Abfragen und tcpdump, wie im Forum beschrieben, haben mir nicht weitergeholfen.
Wer weiss was?
Mailrelay und LDAP
Moderator: Securepoint
1.1. Weil es auch noch "ldaps://" gibt
1.2. Nein, sie könnten aber auch noch einen abweichenden Port angeben (ldap://host.domain.local:389)
1.3. Nein. Es muss heißen "ldap://syno.mydomain.de"
2.1. Das hängt...
2.2. ... davon ab ...
... wie das LDAP konfiguriert wurde. Es kann beides richtig sein, im Normalfall befindet sich aber der "wichtige" Teil des LDAP-Trees unter der 2nd-Level-Domain. Dann wäre die Base-DN also "dc=mydomain,dc=de".
3.1 a
Mit folgendem Hinweis: Ist Ihre Domain "mydomain.de" und der Username "ldap-user" wird sich versucht mit folgendem DN an das LDAP zu binden:
Der Benutzer muss sich also genau an dieser Stelle im LDAP-Tree befinden!
1.2. Nein, sie könnten aber auch noch einen abweichenden Port angeben (ldap://host.domain.local:389)
1.3. Nein. Es muss heißen "ldap://syno.mydomain.de"
2.1. Das hängt...
2.2. ... davon ab ...
... wie das LDAP konfiguriert wurde. Es kann beides richtig sein, im Normalfall befindet sich aber der "wichtige" Teil des LDAP-Trees unter der 2nd-Level-Domain. Dann wäre die Base-DN also "dc=mydomain,dc=de".
3.1 a
Mit folgendem Hinweis: Ist Ihre Domain "mydomain.de" und der Username "ldap-user" wird sich versucht mit folgendem DN an das LDAP zu binden:
Code: Alles auswählen
cn=ldap-user,cn=Users,dc=mydomain,dc=deHabe die vorgeschlagenen Änderungen am letzen Sonntag bereits gemacht. Leider kein Erfolg.
Nachdem ich mir heute mit tcpdump den Datenaustausch angeschaut habe, konnte ich den Rest der Fehlermeldung erkennen:
Protocol error: historical protocol version requested, use LDAPv3 instead.
Das Programm ldapAdmin gibt die vollständige Fehlermeldung aus, wenn LDAPv2 verwendet wird. Die Vermutung liegt nahe, dass der Synology Directory Server Version 2 nicht unterstützt, was man denen meiner Meinung auch nicht übel nehmen sollte, weil Version 3 seit 1997 spezifiziert ist.
@Erik: Ist es möglich LDAPv3 als Protokollversion einzustellen ?
Nachdem ich mir heute mit tcpdump den Datenaustausch angeschaut habe, konnte ich den Rest der Fehlermeldung erkennen:
Protocol error: historical protocol version requested, use LDAPv3 instead.
Das Programm ldapAdmin gibt die vollständige Fehlermeldung aus, wenn LDAPv2 verwendet wird. Die Vermutung liegt nahe, dass der Synology Directory Server Version 2 nicht unterstützt, was man denen meiner Meinung auch nicht übel nehmen sollte, weil Version 3 seit 1997 spezifiziert ist.
@Erik: Ist es möglich LDAPv3 als Protokollversion einzustellen ?
Extras -> Erweiterte Einstellungen -> Templates -> /etc/mail/sendmail.mc
Suchen Sie nach der Zeile:
Fügen Sie vor "-R -M" ein: " -w 3". Dann auf "Speichern" drücken und den Mailrelay-Dienst neu starten (Anwendungen -> Dienststatus)
Suchen Sie nach der Zeile:
Code: Alles auswählen
define(`confLDAP_DEFAULT_SPEC',Das mit der Protokollumstellung hat funktioniert.
Zur Zeit kann ich vom LDAP-Server jedoch nur mit meinem Windows-PC und anonym Daten abfragen. Oder anders herum ausgedrückt: Weder von Windows noch von der V11 Anmeldung mit Benutzer und Passwort. Keine anonyme Anmeldung von der V11.
Bevor ich weitere Versuche unternehme, werde ich zunächst eine Testumgebung einrichten und mir mehr Informationen über LDAP besorgen.Bis auf werden die Mails mit Portweiterleitung direkt an den Mailserver geschickt.
Zur Zeit kann ich vom LDAP-Server jedoch nur mit meinem Windows-PC und anonym Daten abfragen. Oder anders herum ausgedrückt: Weder von Windows noch von der V11 Anmeldung mit Benutzer und Passwort. Keine anonyme Anmeldung von der V11.
Bevor ich weitere Versuche unternehme, werde ich zunächst eine Testumgebung einrichten und mir mehr Informationen über LDAP besorgen.Bis auf werden die Mails mit Portweiterleitung direkt an den Mailserver geschickt.