Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- wiki:basteleien:active_directory:ldap [2018/11/21 23:15] – wikiadmin
+++ wiki:basteleien:active_directory:ldap [2019/01/13 22:36] (aktuell) – wikiadmin
@@ Zeile 4: / Zeile 4: @@
 Auf einem Univention-System mit Samba4 laufen gleich zwei LDAP-Server: OpenLDAP und das Samba4-LDAP. Zwischen beiden werden Einträge synchronisiert, sodass Benutzer in beiden existieren. Allerdings verwenden beide eine leicht unterschiedliche DNs für die Benutzer:
-^Server^DN^
+^Server^DN^auslesen^
-|Samba|CN=[username],CN=Users,DC=[domain],DC=[tld]|
+|Samba|CN=[username],CN=Users,DC=[domain],DC=[tld]|''univention-s4search cn=mosu dn''|
-|Openldap|uid=[username],cn=users,dc=[domain],dc=[tld]|
+|Openldap|uid=[username],cn=users,dc=[domain],dc=[tld]|''univention-ldapsearch uid=mosu dn''|
 Beides ist derselbe User-Eintrag. Man muss daher wissen, an welchem LDAP man sich anmeldet, um den richtigen Anmeldenamen nutzen zu können.
@@ Zeile 15: / Zeile 15: @@
 |Samba|389|636|
 |OpenLdap|7389|7636|
+Weiterhin muss man bei Verschlüsselung auf die üblichen zwei Dinge achten:
+  - Der verbindende Client muss der CA vertrauen, die das Zertifikat ausgestellt hat. Daher ist es oft nötig, die UCS-CA in der Client-Anwendung oder dem Client-Betriebssystem zu importieren. Die CA liegt auf dem DC Master in /etc/univention/ssl/ucsCA/CAcert.pem.
+  - Der Hostname, den der Client zum Verbinden nutzt, muss im Zertifikat als subjectAlternativeName mit angegeben sein. Andernfalls wird die Verbindung als unsicher abgelehnt. Man kann also nicht einfach die IP-Adresse oder den kurzen Hostnamen nehmen, man muss den FQDN des LDAP-Servers nutzen.
 Das Samba4-LDAP akzeptiert drei Varianten für die Angabe des Loginnamens:
@@ Zeile 50: / Zeile 55: @@
 service samba restart</file>
+====== Quellen: ======
+  * [[https://help.univention.com/t/ldap-auth-fur-externe-systeme/7991/2]]