Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
wiki:basteleien:active_directory:ldap [2018/11/21 16:28] – angelegt wikiadmin | wiki:basteleien:active_directory:ldap [2019/01/13 22:36] (aktuell) – wikiadmin | ||
---|---|---|---|
Zeile 4: | Zeile 4: | ||
Auf einem Univention-System mit Samba4 laufen gleich zwei LDAP-Server: | Auf einem Univention-System mit Samba4 laufen gleich zwei LDAP-Server: | ||
- | ^Server^DN^ | + | ^Server^DN^auslesen^ |
- | |Samba|CN=[username], | + | |Samba|CN=[username], |
- | |Openldap|uid=[username], | + | |Openldap|uid=[username], |
Beides ist derselbe User-Eintrag. Man muss daher wissen, an welchem LDAP man sich anmeldet, um den richtigen Anmeldenamen nutzen zu können. | Beides ist derselbe User-Eintrag. Man muss daher wissen, an welchem LDAP man sich anmeldet, um den richtigen Anmeldenamen nutzen zu können. | ||
Zeile 15: | Zeile 15: | ||
|Samba|389|636| | |Samba|389|636| | ||
|OpenLdap|7389|7636| | |OpenLdap|7389|7636| | ||
+ | |||
+ | Weiterhin muss man bei Verschlüsselung auf die üblichen zwei Dinge achten: | ||
+ | |||
+ | - Der verbindende Client muss der CA vertrauen, die das Zertifikat ausgestellt hat. Daher ist es oft nötig, die UCS-CA in der Client-Anwendung oder dem Client-Betriebssystem zu importieren. Die CA liegt auf dem DC Master in / | ||
+ | - Der Hostname, den der Client zum Verbinden nutzt, muss im Zertifikat als subjectAlternativeName mit angegeben sein. Andernfalls wird die Verbindung als unsicher abgelehnt. Man kann also nicht einfach die IP-Adresse oder den kurzen Hostnamen nehmen, man muss den FQDN des LDAP-Servers nutzen. | ||
Das Samba4-LDAP akzeptiert drei Varianten für die Angabe des Loginnamens: | Das Samba4-LDAP akzeptiert drei Varianten für die Angabe des Loginnamens: | ||
Zeile 43: | Zeile 48: | ||
Jetzt muss man noch wissen, dass der Filter erst bei neuen Gruppen funktioniert. Um " | Jetzt muss man noch wissen, dass der Filter erst bei neuen Gruppen funktioniert. Um " | ||
+ | |||
+ | ===== TLS bei samba4 ausschalten ===== | ||
+ | |||
+ | Laut [[https:// | ||
+ | < | ||
+ | service samba restart</ | ||
+ | |||
+ | ====== Quellen: ====== | ||
+ | * [[https:// |