Autor Thema: LDAP-Anfrage fu. nicht mit mit Autentifizierung? (Gelesen 3018 mal)

jkunze · « **am:** 07.03.07 - 16:47:56 »

Hallo Admins,

wir haben einen LDAP eingerichtet (nur über das names.nsf) für unsere neue Telefonanlage zur Rufnummernerkennung. Die anonyme Abfrage (Test per LDAP-Browser) funktioniert auch einwandfrei.

Wenn ich aber die Abfrage starte mit Autentifizierung, also User und Paßwort (so muß es laut Telefonanbieter eingerichtet werden), dann erhalte ich immer die Meldung "Insufficient access. Client must perform bind operation" und nix wird angezeigt.

Hat jemand eine Idee?

Viele Grüße,

Jochen

m3 · « **Antwort #1 am:** 07.03.07 - 16:50:30 »

Irgendwie ist das ein bissl konfus geschrieben.

1) Wer ist der Server und wer der Client?
2) Wer muss sich bei wem anmelden? Notes bei der PBX oder vice versa?
3) Mit welchem Account meldest Du Dich wo an?

jkunze · « **Antwort #2 am:** 07.03.07 - 16:55:26 »

OK, hier die Antworten:

1. Domino ist der LDAP-Server und die Telefonanlage der Client
2. Die Telefonanlage muß sich an Domino anmelden
3. Hab schon Notes und Notes-Internet-Anmeldung versucht (bin Admin), aber vergeblich. Wie gesagt, ich teste momentan mit einem LDAP-Browser,

Gruß Jochen

m3 · « **Antwort #3 am:** 07.03.07 - 16:57:22 »

Normalerweise, wenn alles ordentlich konfiguriert ist, kommst mit Username und Internet-Passwort auf den Domino-LDAP drauf.

jkunze · « **Antwort #4 am:** 07.03.07 - 17:00:59 »

-also du meinst es ist ein Konfigurationsproblem! Für mich ist auch wichtig, ob das mit Autentifizierung überhaupt geht,

Danke und Gruß Jochen

m3 · « **Antwort #5 am:** 07.03.07 - 22:05:37 »

Na ich dann würde ich mal das Debugging aufdrehen. LDAPDEBUG=7 ist Dein Freund. Mehr Tiips gibts auch noch in Collecting data on LDAP operations.

jkunze · « **Antwort #6 am:** 08.03.07 - 10:45:46 »

Hallo,

das LDAPDEBUG leifert zumindest mir leider keine weiteren Informationen, warum die Autentifizierung nicht möglich ist. Zur Info: ich habe anonymous auf Leseberechtigung gesetzt im names.nsf und meine Wenigkeit ist Admin.

PS: Ich habe jetzt den Ball an die Telefonleute weitergegeben, die sollen es halt mit anonymer Autentifizierung hinkriegen.

Danke für alle bisherigen Antworten.

Hier das LDAP-Protokoll, falls jemand daraus schlau wird:

08.03.2007 10:38:21,67 [0684:0006-0608] LDAP> BERGetTag State
08.03.2007 10:38:21,67 [0684:0006-0608] LDAP> BERGetLeadingLengthByte State
08.03.2007 10:38:21,67 [0684:0006-0608] LDAP> BERGetNext State
08.03.2007 10:38:21,67 [0684:0006-0608] LDAP> UnBind State
08.03.2007 10:38:21 LDAP Server: 172.30.49.132 disconnected
08.03.2007 10:38:26,75 [0684:0003-06BC] LDAP CIServ Listen> Connection Accepted on Port 389 for Session 1A9E002F
08.03.2007 10:38:26,75 [0684:0004-0668] LDAP> InitForSearch
08.03.2007 10:38:26 LDAP Server: 172.30.49.132 connected
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> BERGetTag State
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> BERGetLeadingLengthByte State
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> BERGetNext State
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> Bind State
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> Version: 3
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> DN: Jochen Kunze
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> Method: 0x80 (Simple)
08.03.2007 10:38:26,76 [0684:0004-0668] WebAuth> User found in group Cache!
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> Groups for name CN=Jochen Kunze/OU=m1/O=command-ag/C=de:
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> Jochen Kunze
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> *
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> */OU=m1/O=command-ag/C=de
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> */O=command-ag/C=de
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> */C=de
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> VIS-Admin-CMD
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> Z-Notes
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> com-Infra
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> CMD-Admin
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> Z-VIS-ApplAdmin
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> Z-Admin
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> Z-Mail
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> Z-CMD-Alle
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> T-VIS-Admin
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> CMD-Infra
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> VIS-ApplAdmin-CMD
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> Z-VIS-Admin
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> Z-Design
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> LocalDomainAdmins
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> T4_Product_Demo_Authors
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> T4_Product_Demo_Managers
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> T4_Product_Demo_Editors
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> Z-Alle
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> G_COMMAND_Benutzer
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> LocalDomainPeople
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> z-com-alle
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> com-alle
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> cmd-Eisenstock-16
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> Z-PassThrough
08.03.2007 10:38:26,76 [0684:0004-0668] LDAP> Z-Vertraege
08.03.2007 10:38:26,78 [0684:0004-0668] LDAP> Z-GROUP-TOOLS-MGR
08.03.2007 10:38:26,78 [0684:0004-0668] LDAP> CRM-Admin
08.03.2007 10:38:26,78 [0684:0004-0668] LDAP> BP_7713101
08.03.2007 10:38:26,78 [0684:0004-0668] LDAP> Z-Java
08.03.2007 10:38:26,78 [0684:0004-0668] LDAP> _Swan
08.03.2007 10:38:26,78 [0684:0004-0668] LDAP> _Lindner
08.03.2007 10:38:26,78 [0684:0004-0668] LDAP> _Admin
08.03.2007 10:38:26,78 [0684:0004-0668] LDAP> iQSuite-Admin
08.03.2007 10:38:26,78 [0684:0004-0668] LDAP> Z-Gruppe
08.03.2007 10:38:26,78 [0684:0004-0668] LDAP> VIS-AllUser-CMD
08.03.2007 10:38:26,78 [0684:0004-0668] LDAP> Z-VIS-User-Topf
08.03.2007 10:38:26,78 [0684:0004-0668] LDAP> cmd-ALLE
08.03.2007 10:38:26,78 [0684:0004-0668] LDAP> Z-CMD-T4
08.03.2007 10:38:26,78 [0684:0004-0668] LDAP> Successful bind for user Jochen Kunze
08.03.2007 10:38:26,78 [0684:0004-0668] LDAP> Return Result State
08.03.2007 10:38:26,78 [0684:0004-0668] LDAP> InitForSearch
08.03.2007 10:38:26,78 [0684:0004-0668] LDAP> StateReturnResult returning resultCode 0 (Success)
08.03.2007 10:38:26,78 [0684:0004-0668] LDAP> SendBufferFree
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> BERGetTag State
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> BERGetLeadingLengthByte State
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> BERGetLength State
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> BERGetNext State
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> Search State
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> Scope: BASE
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> Dereference Aliases: 0
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> TimeLimit: 600
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> SizeLimit: 0
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> Attributes to return:
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> subschemaSubentry
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> supportedControl
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> supportedExtension
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> supportedSASLMechanisms
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> namingContexts
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> Base:
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> Filter: (objectclass=*)
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> GetSpecialSearchEntry State
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> SendSearchEntry, sending entry
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> SendBufferFree
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> Return Result State
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> InitForSearch
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> StateReturnResult returning resultCode 0 (Success)
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> SendBufferFree
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> BERGetTag State
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> BERGetLeadingLengthByte State
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> BERGetNext State
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> Search State
08.03.2007 10:38:26,
79 [0684:0004-0668] LDAP> Scope: ONELEVEL
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> Dereference Aliases: 0
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> TimeLimit: 30
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> SizeLimit: 100
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> Attributes to return:
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> 1.1
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> Base: ou=m1/o=command-ag/c=de
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> Filter: (sn=*)
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> Return Result State
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> InitForSearch
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> StateReturnResult returning resultCode 50 (Insufficient access)
08.03.2007 10:38:26,79 [0684:0004-0668] LDAP> SendBufferFree
08.03.2007 10:38:26,81 [0684:0004-0668] LDAP> BERGetTag State
08.03.2007 10:38:26,81 [0684:0004-0668] LDAP> BERGetLeadingLengthByte State
08.03.2007 10:38:26,81 [0684:0004-0668] LDAP> BERGetLength State
08.03.2007 10:38:26,81 [0684:0004-0668] LDAP> BERGetNext State
08.03.2007 10:38:26,81 [0684:0004-0668] LDAP> Search State
08.03.2007 10:38:26,81 [0684:0004-0668] LDAP> Scope: BASE
08.03.2007 10:38:26,81 [0684:0004-0668] LDAP> Dereference Aliases: 0
08.03.2007 10:38:26,81 [0684:0004-0668] LDAP> TimeLimit: 600
08.03.2007 10:38:26,81 [0684:0004-0668] LDAP> SizeLimit: 0
08.03.2007 10:38:26,81 [0684:0004-0668] LDAP> Attributes to return:
> 08.03.2007 10:38:26,93 [0684:0004-0668] LDAP> objectClass
08.03.2007 10:38:26,93 [0684:0004-0668] LDAP> namingContexts
08.03.2007 10:38:26,93 [0684:0004-0668] LDAP> netscapemdsuffix
08.03.2007 10:38:26,93 [0684:0004-0668] LDAP> dsServiceName
08.03.2007 10:38:26,93 [0684:0004-0668] LDAP> orcldirectoryversion
08.03.2007 10:38:26,93 [0684:0004-0668] LDAP> ibmdirectoryversion
08.03.2007 10:38:26,93 [0684:0004-0668] LDAP> Base:
08.03.2007 10:38:26,93 [0684:0004-0668] LDAP> Filter: (objectclass=*)
08.03.2007 10:38:26,95 [0684:0004-0668] LDAP> GetSpecialSearchEntry State
08.03.2007 10:38:26,95 [0684:0004-0668] LDAP> SendSearchEntry, sending entry
08.03.2007 10:38:26,95 [0684:0004-0668] LDAP> SendBufferFree
08.03.2007 10:38:26,95 [0684:0004-0668] LDAP> Return Result State
08.03.2007 10:38:26,95 [0684:0004-0668] LDAP> InitForSearch
08.03.2007 10:38:26,95 [0684:0004-0668] LDAP> StateReturnResult returning resultCode 0 (Success)
08.03.2007 10:38:26,95 [0684:0004-0668] LDAP> SendBufferFree

m3 · « **Antwort #7 am:** 14.03.07 - 17:11:12 »

So, ich mach in dem Fred weiter, damit es übersichtlicher bleibt:

Für die Anmeldung solltest Du in Deinem Log so etwas in der Art stehen haben (LDAPDEBUG=7):

Code

14.03.2007 16:38:02,75 [0DDC:0008-1284] LDAP CIServ ListenerTask> Listener task (Multi-Endpoint) started
> 14.03.2007 16:38:02   LDAP Server: Started
> 14.03.2007 16:38:09,92 [0DDC:0008-1284] LDAP CIServ Listen> Connection Accepted on Port 389 for Session 1F900012
> 14.03.2007 16:38:10,28 [0DDC:000B-0A9C] LDAP> InitForSearch
14.03.2007 16:38:10,39 [0DDC:0005-0A9C] LDAP> InitForSearch
> 14.03.2007 16:38:10   LDAP Server: 127.0.0.1 connected
14.03.2007 16:38:10,48 [0DDC:000B-0A9C] LDAP> BERGetTag State
14.03.2007 16:38:10,48 [0DDC:000B-0A9C] LDAP> BERGetLeadingLengthByte State
14.03.2007 16:38:10,48 [0DDC:000B-0A9C] LDAP> BERGetNext State
14.03.2007 16:38:10,51 [0DDC:0005-0A9C] LDAP> Bind State
14.03.2007 16:38:10,51 [0DDC:0005-0A9C] LDAP>     Version: 3
14.03.2007 16:38:10,51 [0DDC:0005-0A9C] LDAP>     DN: Martin Leyrer/A/Firma
14.03.2007 16:38:10,51 [0DDC:0005-0A9C] LDAP>     Method: 0x80 (Simple)
14.03.2007 16:38:10,64 [0DDC:0005-0A9C] LDAP> Groups for name CN=Martin Leyrer/OU=A/O=Firma:
> 14.03.2007 16:38:10,64 [0DDC:0005-0A9C] LDAP>     *
14.03.2007 16:38:10,71 [0DDC:0005-0A9C] LDAP>     */OU=A/O=Firma
14.03.2007 16:38:10,71 [0DDC:0005-0A9C] LDAP>     */O=Firma
14.03.2007 16:38:10,71 [0DDC:0005-0A9C] LDAP>     DomainAdmins
14.03.2007 16:38:10,71 [0DDC:0005-0A9C] LDAP>     Firma Entwicklung
14.03.2007 16:38:10,71 [0DDC:0005-0A9C] LDAP>     AgentRunner
14.03.2007 16:38:10,71 [0DDC:0005-0A9C] LDAP>     LocalDomainAdmins
14.03.2007 16:38:10,73 [0DDC:0005-0A9C] LDAP> Successful bind, user Martin Leyrer/A/Firma authenticated as CN=Martin Leyrer/OU=A/O=Firma
14.03.2007 16:38:10,73 [0DDC:0005-0A9C] LDAP> Return Result State (Bind operation)

Das findet sich ja auch bei Dir.

Die Suche nach einer Person schaut bei mir so aus:

Code

14.03.2007 16:38:33,04 [0DDC:0005-0A9C/ LDAP> ***** Start search request processing *****
14.03.2007 16:38:33,04 [0DDC:0005-0A9C] LDAP>     Scope: SUBTREE
14.03.2007 16:38:33,04 [0DDC:0005-0A9C] LDAP>     Dereference Aliases: 3
14.03.2007 16:38:33,04 [0DDC:0005-0A9C] LDAP>         Warning, dereferencing aliases NOT enabled on this server!
14.03.2007 16:38:33,04 [0DDC:0005-0A9C] LDAP>     TimeLimit: 0
14.03.2007 16:38:33,04 [0DDC:0005-0A9C] LDAP>     SizeLimit: 0
14.03.2007 16:38:33,04 [0DDC:0005-0A9C] LDAP>     Attributes to return:
14.03.2007 16:38:33,04 [0DDC:0005-0A9C] LDAP>             objectclass
14.03.2007 16:38:33,04 [0DDC:0005-0A9C] LDAP>     Base: o=Firma
14.03.2007 16:38:33,04 [0DDC:0005-0A9C] LDAP>     Filter: (cn=felizitas*)
14.03.2007 16:38:33,06 [0DDC:0005-0A9C] LDAP> *** Searching in database d:\daten\Domino7-JDev\names.nsf ...
14.03.2007 16:38:33,06 [0DDC:0005-0A9C] LDAP>   Type of search: View Search
14.03.2007 16:38:33,06 [0DDC:0005-0A9C] LDAP>     ... Searching view ($LDAPCN) for partial match on cn = felizitas
14.03.2007 16:38:33,10 [0DDC:0005-0A9C] LDAP> GetSearchEntry State
14.03.2007 16:38:33,12 [0DDC:0005-0A9C] LDAP>   Found matching entry, Note ID: 5014
14.03.2007 16:38:33,12 [0DDC:0005-0A9C] LDAP>   Entry:
14.03.2007 16:38:33,12 [0DDC:0005-0A9C] LDAP>     dn: CN=Felizitas Nachname,OU=OU2,OU=OU1,O=Firma
14.03.2007 16:38:33,12 [0DDC:0005-0A9C] LDAP>     objectclass: dominoPerson
14.03.2007 16:38:33,12 [0DDC:0005-0A9C] LDAP>     objectclass: inetOrgPerson
14.03.2007 16:38:33,12 [0DDC:0005-0A9C] LDAP>     objectclass: organizationalPerson
14.03.2007 16:38:33,12 [0DDC:0005-0A9C] LDAP>     objectclass: person
14.03.2007 16:38:33,12 [0DDC:0005-0A9C] LDAP>     objectclass: top
14.03.2007 16:38:33,12 [0DDC:0005-0A9C] LDAP> SendSearchEntry, sending entry CN=Felizitas Nachname,OU=OU2,OU=OU1,O=Firma
14.03.2007 16:38:33,12 [0DDC:0005-0A9C] LDAP> GetSearchEntry State
14.03.2007 16:38:33,12 [0DDC:0005-0A9C] LDAP> Search State
14.03.2007 16:38:33,12 [0DDC:0005-0A9C] LDAP> ***** Count of search entries returned (total): 1 *****
14.03.2007 16:38:33,12 [0DDC:0005-0A9C] LDAP> Return Result State (Search operation)
14.03.2007 16:38:33,12 [0DDC:0005-0A9C] LDAP> StateReturnResult returning resultCode 0 (Success)
14.03.2007 16:38:33,12 [0DDC:000B-0A9C] LDAP> SendBufferFree

Was sich von Deinem Ergebnis doch unterscheidet.

Ich verwende diesen LDAP-Browser, ev. hilft der Dir:
http://www-unix.mcs.anl.gov/~gawor/ldap/

Meine LDAP-Port config sieht so aus:

Autor Thema: LDAP-Anfrage fu. nicht mit mit Autentifizierung? (Gelesen 3018 mal)

jkunze

LDAP-Anfrage fu. nicht mit mit Autentifizierung?

m3

Re: LDAP-Anfrage fu. nicht mit mit Autentifizierung?

jkunze

Re: LDAP-Anfrage fu. nicht mit mit Autentifizierung?

m3

Re: LDAP-Anfrage fu. nicht mit mit Autentifizierung?

jkunze

Re: LDAP-Anfrage fu. nicht mit mit Autentifizierung?

m3

Re: LDAP-Anfrage fu. nicht mit mit Autentifizierung?

jkunze

Re: LDAP-Anfrage fu. nicht mit mit Autentifizierung?

m3

Re: LDAP-Anfrage fu. nicht mit mit Autentifizierung?