wiki:basteleien:active_directory:ldap

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		 Vorhergehende Überarbeitung
wiki:basteleien:active_directory:ldap [2018/11/21 16:28] – angelegt wikiadminwiki:basteleien:active_directory:ldap [2019/01/13 22:36] (aktuell) wikiadmin
Zeile 4: Zeile 4:
 Auf einem Univention-System mit Samba4 laufen gleich zwei LDAP-Server: OpenLDAP und das Samba4-LDAP. Zwischen beiden werden Einträge synchronisiert, sodass Benutzer in beiden existieren. Allerdings verwenden beide eine leicht unterschiedliche DNs für die Benutzer: Auf einem Univention-System mit Samba4 laufen gleich zwei LDAP-Server: OpenLDAP und das Samba4-LDAP. Zwischen beiden werden Einträge synchronisiert, sodass Benutzer in beiden existieren. Allerdings verwenden beide eine leicht unterschiedliche DNs für die Benutzer:
  
-^Server^DN^ +^Server^DN^auslesen
-|Samba|CN=[username],CN=Users,DC=[domain],DC=[tld]| +|Samba|CN=[username],CN=Users,DC=[domain],DC=[tld]|''univention-s4search cn=mosu dn''
-|Openldap|uid=[username],cn=users,dc=[domain],dc=[tld]|+|Openldap|uid=[username],cn=users,dc=[domain],dc=[tld]|''univention-ldapsearch uid=mosu dn''|
  
 Beides ist derselbe User-Eintrag. Man muss daher wissen, an welchem LDAP man sich anmeldet, um den richtigen Anmeldenamen nutzen zu können. Beides ist derselbe User-Eintrag. Man muss daher wissen, an welchem LDAP man sich anmeldet, um den richtigen Anmeldenamen nutzen zu können.
Zeile 15: Zeile 15:
 |Samba|389|636| |Samba|389|636|
 |OpenLdap|7389|7636| |OpenLdap|7389|7636|
 +
 +Weiterhin muss man bei Verschlüsselung auf die üblichen zwei Dinge achten:
 +
 +  - Der verbindende Client muss der CA vertrauen, die das Zertifikat ausgestellt hat. Daher ist es oft nötig, die UCS-CA in der Client-Anwendung oder dem Client-Betriebssystem zu importieren. Die CA liegt auf dem DC Master in /etc/univention/ssl/ucsCA/CAcert.pem.
 +  - Der Hostname, den der Client zum Verbinden nutzt, muss im Zertifikat als subjectAlternativeName mit angegeben sein. Andernfalls wird die Verbindung als unsicher abgelehnt. Man kann also nicht einfach die IP-Adresse oder den kurzen Hostnamen nehmen, man muss den FQDN des LDAP-Servers nutzen.
  
 Das Samba4-LDAP akzeptiert drei Varianten für die Angabe des Loginnamens: Das Samba4-LDAP akzeptiert drei Varianten für die Angabe des Loginnamens:
Zeile 43: Zeile 48:
  
 Jetzt muss man noch wissen, dass der Filter erst bei neuen Gruppen funktioniert. Um "memberOf" für bestehende Gruppen zu aktivieren müssen die Benutzer aus der Gruppe entfernt, die Gruppe gespeichert und dann die Benutzer der Gruppe wieder hinzugefügt werden. Jetzt muss man noch wissen, dass der Filter erst bei neuen Gruppen funktioniert. Um "memberOf" für bestehende Gruppen zu aktivieren müssen die Benutzer aus der Gruppe entfernt, die Gruppe gespeichert und dann die Benutzer der Gruppe wieder hinzugefügt werden.
 +
 +===== TLS bei samba4 ausschalten =====
 +
 +Laut [[https://help.univention.com/t/ldap-transport-encryption-required/4274|dieser]] Quelle ist bei samba4 zwingend eine TLS-Verschlüsselung notwendig
 +<file>ucr set samba/ldap/server/require/strong/auth=no
 +service samba restart</file>
 +
 +====== Quellen: ======
 +  * [[https://help.univention.com/t/ldap-auth-fur-externe-systeme/7991/2]]
  • wiki/basteleien/active_directory/ldap.1542814105.txt.gz
  • Zuletzt geändert: 2018/11/21 16:28
  • von wikiadmin