Autor Thema: remote LDAP (Gelesen 1605 mal)

shiraz · « **am:** 16.11.23 - 22:56:47 »

Hallo,

wir haben einen Remote-LDAP-Server, dieser ist in da.nsf eingetragen und liefert bei "verify" : success.
aber bei der Adresssuche bekommen wir die Meldung "es wurden keine Einträge gefunen die den Suchbedingungen entsprechen".

Erstelle ich ein Konto in das persönliche Adressbuch, dann finden wir sofort die Adressen!!!. (Die Einstellung im da.nsf und pername sind identisch!)
Externes ldap-Admin-Tool liefert auch Ergebnisse!

Hat jemand eine Idee?
man greift Anonym auf ldapserver (ohne User und ohne Passwort)

Tode · « **Antwort #1 am:** 17.11.23 - 08:08:53 »

Kann es sein, dass ihr da ein Firewall- Problem habt? Wenn es von Deinem Client aus funktioniert (also sowohl mit einem Konto im persönlichen Adressbuch als auch mit dem "verify" Button, dann scheint Dein Client ja zum LDAP Server zu kommen. Wenn der Server aber nicht da hinkommt, ist es vielleicht ein Routing- oder Firewall- Problem. Hast Du schonmal auf dem Server versucht, mittels "Telnet" eine Verbindung zum Port 389 des LDAP Servers herzustellen?

shiraz · « **Antwort #2 am:** 17.11.23 - 08:31:31 »

Hallo Torsten,

Firewall ist im Ordnung, mit dem Tool Ldap-Admin auf dem Domino-Server erreiche ich den Remote-Server!!!

CarstenH · « **Antwort #3 am:** 17.11.23 - 11:56:23 »

Wurde der Test mit dem Ldap-Admin auch mit gleichen Account durchgeführt, mit dem der Domino-Service läuft?
Hat der Domino mehrere Netzwerkadapter oder IPs und, wenn ja, mit welchem versucht er rauszugehen?

shiraz · « **Antwort #4 am:** 17.11.23 - 13:06:10 »

Hallo Carsten

>>Wurde der Test mit dem Ldap-Admin auch mit gleichen Account durchgeführt, mit dem der Domino-Service läuft?
ja

>>Hat der Domino mehrere Netzwerkadapter oder IPs und, wenn ja, mit welchem versucht er rauszugehen?

der Server hat mehrer IP-Adressen, aber wir gehen mit eine Bestimme IP raus, genau wie bei der Clients!

Ich habe mit ldapsearch auf dem Server versucht, anbei die Fehlermeldung, ist user und passwort immer erforderlich?

MaVo · « **Antwort #5 am:** 24.11.23 - 12:39:59 »

Christian, ist der LDAP Port erreichbar?

Code

Powershell.exe Test-NetConnection -Computername xxx.xxx.xxx.xxx -Port xxx

Nutzt Euer Remote-LDAP-Server ein SSL Zertifikat?

Wenn ich ldapsearch Anfragen mache, nutze ich immer diese LDAP Parameter:

Code

ldapsearch.exe -h xxx.xx.xx.xx -p xxxxx -b "O=xxx" -D xxx -w xxx "(objectClass=person)" cn

Wobei die Parameter -b für Base, -D für Ldapbinduser und -w für ldpabindpassword optional sind.

shiraz · « **Antwort #6 am:** 24.11.23 - 13:45:40 »

HAllo Mavo,

ldapsearch.exe -h 19x.xxx.xxx.xxx -p 15389 -b "dc=abc" "(cn=MUSTERMANN*)" liefert mir Ergebnisse, aber Adrssuche im Client liefert nichts!!!
ohne SSL.

stoeps · « **Antwort #7 am:** 25.11.23 - 09:05:48 »

Nachdem das unverschlüsselt ist, häng doch einmal Wireshark oder tcpdump dazwischen und vergleiche die beiden Anfragen. Bzw dreh den ldap debug hoch um zu sehen was der Domino da genau als Abfrage sendet. LDAPDebug=7

shiraz · « **Antwort #8 am:** 29.11.23 - 17:33:10 »

In Wireshark sieht man das Paket der Anfrage vom Domino an den Remote LDAP Server. Es wurde auch eine Antwort mit den Informationen an den Domino Server geschickt. Trotzdem am Client die Fehlermeldung...

Im Log vom Domino wurde auch etwas gefunden:

[110C:000E-0464] 29.11.2023 15:50:06,61 <LDAP GW> Searching for name='Carmen Sandiego' in LDAP server='xxx'
[110C:000E-0464] 29.11.2023 15:50:06,61 <LDAP GW> Base: dc=XXX
[110C:000E-0464] 29.11.2023 15:50:06,61 <LDAP GW> Scope: 2
[110C:000E-0464] 29.11.2023 15:50:06,61 <LDAP GW> Filter: (|(cn=Test*)(mail=Test*)(givenname=Test*)(sn=Test*)(uid=Test*))
[110C:000E-0464] 29.11.2023 15:50:06,61 <LDAP GW> Timeout: 60 secs
[110C:000E-0464] 29.11.2023 15:50:10,49 <LDAP GW> SEARCH returned '67' match(es).

Wer ist Carmen Sandiego?

stoeps · « **Antwort #9 am:** 30.11.23 - 05:33:48 »

Moin,
Nachdem da offensichtlich 67 Eintraege gefunden, abernnicht angezeigt werden, würde ich einen Case aufmachen.Welche Server Version ist das denn und welches LDAP? Evtl kann das ja jmd reproduziere.

eknori · « **Antwort #10 am:** 30.11.23 - 06:19:40 »

Wie passt denn eigentlich dieser FILTER in das ganze Geschehen?

Code

 Filter: (|(cn=Test*)(mail=Test*)(givenname=Test*)(sn=Test*)(uid=Test*))

Meinem bescheidenen Wissen nach wird hier möglicherweise nach Carmen Santiego gesucht, das Ergebnis dann aber gefiltert ...

stoeps · « **Antwort #11 am:** 30.11.23 - 06:38:31 »

Moin,
Nein ich denke die Suche war nach test und der Filter macht eine oder Verknüpfung auf die verschiedenen ldap attribute.

Das Carmen Santiago ist allerdings strange.

eknori · « **Antwort #12 am:** 30.11.23 - 06:50:01 »

HaHa, scheint so ein IBM/HCL Gag zu sein ...

https://domino-ideas.hcltechsw.com/ideas/DOMINO-I-434

zu dem Fehlercode 81 habe ich noch das hier gefunden

https://groups.google.com/g/comp.groupware.lotus-notes.admin/c/FdTfOcOc_uE

shiraz · « **Antwort #13 am:** 30.11.23 - 08:53:54 »

...und es wird immer bunter:

User haben sich beschwert das die Suche in Datenbanken sehr lange dauert, wir haben jetzt rausgefunden wenn wir in eine Ansicht (egal welche Datenbank, egal welche Ansicht) nach etwas suchen (egal was), auf dem Server läuft eine Ldap-Suche mit der gleichen Fehlermeldung !!!
Wir haben LDAP-Suche deaktiviert, Domino 12 und LDAP ist leider für uns nicht einsetzbar.

Hier ein Beispiel:
wir haben einfach nach Lotus im names.nsf gesucht:

eknori · « **Antwort #14 am:** 30.11.23 - 09:12:14 »

Die LDAP Ausgaben auf der Console kommen auch, wenn LDAP auf dem Server deaktiviert sind. Domino scheint hier INTERN irgendwie LDAP zu verwenden. Das erklärt auch, warum die AutoPopulated Groups funktionieren, wenn kein LDAP auf dem Server läuft.
Die Ausgaben werden aber nur generiert, wenn LDAPDebug=7 gesetzt ist.

Code

[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>   Found matching entry, Note ID: 9390
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>   Entry:
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     dn: CN=&kst_100_development
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     cn: &kst_100_development
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$lastaccessedinfiletime: 20230807085147.420Z
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     createtimestamp: 20230724060218Z
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     mail: &kst_100_development@singultus.net
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     listname: CN=&kst_100_development
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$unid:: bqdHaNd9ab3GKyEA9oklwQ==
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     objectclass: dominoGroup
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     objectclass: groupOfNames
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     objectclass: top
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$addedinthisfiletime: 20230724060218.920Z
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     excludedmembers: CN=Ulrich Krause,O=singultus
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     selectioncriteria: (&(ObjectClass=person)(department=100))
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$oid:: bqdHaNd9ab3GKyEA9oklwQ4AAADWrzAABIolwQ==
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     grouptype: 0
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     modifytimestamp: 20230807085147Z
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$dbname: CN=serv01/O=singultus!!names.nsf
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$noteid: 9390
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$domain: singultus
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$modifiedinfiletime: 20230807085147.430Z
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$updatedby: CN=serv01/O=singultus
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$direntryid:: Tm90ZXM6Ly9zZXJ2MDEvbmFtZXMubnNmLy9CRDY5N0RENzY4NDdBNzZFQzEyNT
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     g5RjYwMDIxMkJDNj9yZXBsaWNhSUQ9QzEyNTczRkUwMDcwQTk5NglOb3Rlc0ROOiZrc3RfMTAwX2
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     RldmVsb3BtZW50

Und die Carman Santiego ist ein easter egg, wie schon geschrieben. Ist auch noch in DOmino 14 vorhanden

Code

[root@serv02 linux]# strings libnotes.so |grep Carmen
Carmen Sandiego

shiraz · « **Antwort #15 am:** 30.11.23 - 09:19:19 »

Guten Morgen Ulrich,

ich muss leider dies widersprechen, wenn wir LDAP in da.nsf deaktivieren funktioniert alles normal und ohne Fehlermeldung und einfache Suche verursacht keine LDAP-Suche und suche ist viel schneller und ohne Pause!.

eknori · « **Antwort #16 am:** 30.11.23 - 09:35:53 »

Was die LDAP Anfragen betrifft, könnte es das hier sein https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0036697

Frage zu deinem Lotus* search. Hier sehe ich im Filter kein | (pipe) symbol im screenshot. Ist das ein Darstellungsproblem der Domino Console?

Autor Thema: remote LDAP (Gelesen 1605 mal)

shiraz

remote LDAP

Tode

Antw:remote LDAP

shiraz

Antw:remote LDAP

CarstenH

Antw:remote LDAP

shiraz

Antw:remote LDAP

MaVo

Antw:remote LDAP

shiraz

Antw:remote LDAP

stoeps

Antw:remote LDAP

shiraz

Antw:remote LDAP

stoeps

Antw:remote LDAP

eknori

Antw:remote LDAP

stoeps

Antw:remote LDAP

eknori

Antw:remote LDAP

shiraz

Antw:remote LDAP

eknori

Antw:remote LDAP

shiraz

Antw:remote LDAP

eknori

Antw:remote LDAP