LDAP mit openLDAP (also kein AD)

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
betamax65
Beiträge: 17
Registriert: Di 12.11.2019, 12:50

LDAP mit openLDAP (also kein AD)

Beitrag von betamax65 »

Moin Moin,

im Wiki gibt es einen schönen Artikel zur Anbindung der UTM an ein AD/LDAP. Ich habe hier kein AD sondern ein openLDAP der auch wunderbar funktioniert (zumindest die Synology NAS können Auth dagegen machen), jedoch die UTM  v11.8 - 11.8.6 (Final) scheinbar nicht. Mangels Doku habe ich wahrscheinlich irgendwo ein Gedankenfehler. Die UTM hat eine Verbindung zum LDAP-Server (zumindest ist der Punkt Grün und spauthd.log meckert auch nicht). Allerdings sehe ich weder LDAP User noch Gruppen. Sind die überhaupt in der Weboberfläche sichtbar? Wenn ich z.B. in Gruppe hinzufügen -> Verzeichnisdienst gehe (wie im Wiki unter AD/LDAP) beschrieben, dann kann ich dort keine Gruppe ausmachen. Ich tippe ja, das es evtl. an meinem Filter liegt '(|(objectClass=person)(objectClass=posixGroup))' (In meiner Naivität lese ich das so: Durchsuche alle Objekte der Klassen person und posixGroup unterhalb der eingestellten Base-DN). In User-Attribute habe ich uid eingetragen.

Ich möchte eigentlich nur erreichen, das ein User der eine SSL-VPN Verbindung aufbaut, sich auch mit seinem globalen LDAP-Account authentifiziert und nicht noch eine 2. Userbasis im UTM gepflegt werden muss.

Hat jemand einen Hinweis für mich, oder einen Link zu einem Howto?

Danke
Kai

jcwb
Beiträge: 8
Registriert: Di 04.06.2019, 12:27

Beitrag von jcwb »

Für mich nicht spontan ersichtlich ob als Verzeichnistyp "AD" oder "LDAP" verwendet wird.

Typ "LDAP" funktioniert mit Einschränkungen* mit einem Windows Active Directory wie folgt:

Base DN: CN=Users,DC=example,DC=org
Bind DN: ldapuser

LDAP-Filter: (memberOf=*)
User-Attribute: sAMAccountName (bei OpenLDAP ein entsprechend anderes, verfügbares Attribut wie z.B. uid verwenden, abhängig von der Konfiguration)

Wenn der LDAP-Bind zur Abfrage funktioniert, wird der Punkt grün. Wenn der Search-Filter passt, sind in den Eigenschaften von Gruppen unter Verzeichnisdienst die entsprechenden Gruppen sichtbar.

*Einschränkungen: Kennwörter die ein "$" enthalten, funktionieren nicht mit Firmware 11.8.x, vermutlich ein weiterer Bug in der ganzen AD/LDAP-Konstellation der Firmware 11.8. Andere LDAP-Clients haben damit kein Problem.

Antworten