Das Notes Forum
HCL Notes / Domino / Diverses => Administration & Userprobleme => Thema gestartet von: Maago am 15.10.20 - 11:55:12
-
Hallo,
ich weiss nicht was da falsch ist und ich verstehe es nicht ...
Ich habe ein System, das per LDAP zum Domino eine Authentifizierung macht. Dabei will ich interne und externe User trennen. Das mache ich ganz einfach mittels eines weiteren Domino Adressbuches und Directory Assistance. Die internen Uer sind im NAMES.NSF, die externen im erweiterten Adressbuch.
Die externen User haben zur Identifizierung der Base DN im LDAP die Org /External im Namen, damit sollte ich in der LDAP Abfrage mit O=External als Base die User gelistet bekommen. Das funktioniert allerdings nicht. Die gleiche LDAP Abfrage mit den internen Usern O=/Intern funktioniert und gibt mir die User zurück.
Zum Testen verwende ich:
ldapsearch -h ldap.company.com -p 389 -D "anonymous" -b "O=External" "(objectClass=dominoPerson)" mail
=> funktioniert nicht
-
Wie ist Deine DA eingerichtet? Hast Du den Eintrag für das externe Adressbuch überhaupt für LDAP freigegeben?
Ich erinnere mich an ein ähnliches Problem... muss mal graben... Da gibt es eine Ansicht, die man erst über einen Befehl aufbauen muss, damit die zusätzlichen O= - Einträge abgefragt werden können...
So... Google und Forumssuche hilft halt doch:
Probier mal ein "tell ldap verifydit" an der Console und prüfe anschliessend die versteckten Ansichten "$LDAPRDNHier" und "$LDAPHier". Wenn da der neue O- Eintrag auftaucht, dann sollte auch die LDAP- Abfrage helfen...
Hier (https://atnotes.de/index.php/topic,61057.0.html) hatte ich das Problem mal vor einigen Jahren...
-
Zur Not einen Certifier Eintrag erstellen, dann geht es auf jeden Fall
-
Die Ansichten sind korrekt und enthalten auch alle Einträge mit /External
In dem DA Eintrag hab ich natürlich LDAP angehakt ... "Make this domain available for ..."
-
Ah du fragst mit Anonymous ab. Darf anonymous das 2. Adressbuch abfragen? Auf welcher Schablone basiert Adressbuch 2 (also das Externe)?
-
Also die DA ist Template R11, Das extended Directory basiert auf 8.5.3.
Auf einem R10 Server funktioniert das Ganze wie es soll .. ich hab lediglich einen weiteren Server installiert und die DBs repliziert.
Ich kann testweise mal ein extended Dir mit R11 Schablone machen ...
Anonymous hat Rechte auf das extended Dir. Habs auch mit einem Anmeldenamen versucht ...
-
Hast du eine Einschränkung im DA Dokument des External Adressbuchs (2. Tab)?
Die Version der Schablone ist mir an sich egal. Ich wollte die DB Schablone also pubnames.ntf / Domino Directory wissen. Ich vermute Nr. 2 ist Extended Directory? Hab ich nie benutzt, ich mache zusätzliche Adressbücher auch mit der pubnames.ntf
-
Sorry, hab mich falsch ausgedrückt:
names.nsf ist Schablone 8.5.3
Die extended Dirs sind alle auf Schablone pubnames.nsf
Keine Einschränkungen in den DA Einträgen
-
ACL - Erweitert (Max Zugriffslevel aus dem Web) gesetzt? Auf welchen Wert?
-
Editor
ACL - Erweitert (Max Zugriffslevel aus dem Web) gesetzt? Auf welchen Wert?
-
So langsam hab ich das Gefühl dass es was mit der Domino Release zu tun hat.
Der andere Server bietet mir das LDAP komplett an, das ist ein R10 Server.
-
Auf der Console bekomme ich auch solch komische Meldungen:
LDAP Server: All authentication methods for TCP/IP port are disabled in Site document for organization
-
Ah, ihr habt Internet Sites aktiviert? Die sind doch auf Org konfiguriert, oder?
-
Ja, da ist eine Org gesetzt
-
Jetzt wird es für mich noch seltsamer ....
Eine LDAP Abfrage auf eine Email Adresse im 2. Adressbuch funktioniert:
ldapsearch -h ldap.server.com -p 389 -D "anonymous" -b "O=External" "(mail=test.tester@ext.com)"
Heisst das "objectClass=dominoPerson" wird nicht gefunden? Aber auch "objectClass=*" liefert mir nichts zurück.
-
Was zeigt `show xdir`?
Geht die Suche ohne -b "O=External" ?
-
Ja, da ist eine Org gesetzt
Müsste man dann für die 2. Org nicht auch einen Eintrag machen?
Jetzt wird es für mich noch seltsamer ....
Eine LDAP Abfrage auf eine Email Adresse im 2. Adressbuch funktioniert:
ldapsearch -h ldap.server.com -p 389 -D "anonymous" -b "O=External" "(mail=test.tester@ext.com)"
Heisst das "objectClass=dominoPerson" wird nicht gefunden? Aber auch "objectClass=*" liefert mir nichts zurück.
Ist das 2. Adressbuch indiziert?
-
Sho xdir zeigt alles richtig:
sho xdir
[008183:000007-00007FF70CE55700] DomainName DirectoryType ClientProtocol Replica/LDAP Server
[008183:000007-00007FF70CE55700] --------------- --------------------- -------------- -----------------------
[008183:000128-00007FF70CE55700] 1 WMH Primary-Notes Notes & LDAP names.nsf
[008183:000128-00007FF70CE55700] 2 HUT_CONNECT_EXT Secondary-Notes Notes & LDAP names_External_Connect.nsf
[008183:000128-00007FF70CE55700] 3 EXTENDEDTEST Secondary-Notes Notes & LDAP extTest.nsf
[008183:000007-00007FF70CE55700] Directory Assistance Database 'DA_lnwmh03.nsf' in use
Die Abfrage ohne o=External funktioniert. Aber auch mit O=External funktioniert - wie schon bemerkt - allerdings NUR wenn ich zusätzlich einen Filter angebe.
-
Müsste man dann für die 2. Org nicht auch einen Eintrag machen?
Das wär mir neu ..
Ist das 2. Adressbuch indiziert?
Ja, alles indiziert
-
LDAP Debug auf Domino Console sagt ...
Base does NOT exist, no ancestor found
-
Ich habe ein System, das per LDAP zum Domino eine Authentifizierung macht. Dabei will ich interne und externe User trennen. Das mache ich ganz einfach mittels eines weiteren Domino Adressbuches und Directory Assistance. Die internen Uer sind im NAMES.NSF, die externen im erweiterten Adressbuch.
Die externen User haben zur Identifizierung der Base DN im LDAP die Org /External im Namen, damit sollte ich in der LDAP Abfrage mit O=External als Base die User gelistet bekommen. Das funktioniert allerdings nicht. Die gleiche LDAP Abfrage mit den internen Usern O=/Intern funktioniert und gibt mir die User zurück.
Um eine Unterscheidung zw. externen und internen Benutzern hinzubekommen, musst Du die externen Benutzer in einem Unterzweig des LDAP-Baums einfügen.
/O=Intern
/OU=Extern/O=Organisation
sonst kann der LDAP-Search die externen Benutzer nicht finden, weil er die Suche immer über die Root "/O=Intern" startet.
Mit ldapsearch steigst Du dann in der Suche im Unterbaum ein.
ldapsearch -h ldap.company.com -p 389 -D "anonymous" -b "OU=Extern,O=Intern" "(objectClass=dominoPerson)"
Alternativ: einen zweiten Domino Server (Docker Container) ldap-extern.company.com aufbauen, der die O=External besitz.
-
Wie erklärt es sich dann aber dass mein Setup auf einem anderen Domino Server in der gleichen Domain funktioniert?
Wenn ich die User ins gleiche Domino Dir schreibe hat das andere Nachteile ...
-
So, habs rausgefunden .... es scheint sich da tatsächlich etwas geändert zu haben:
Während unter Domino 10 das noch lief ohne Certifier muss man unter Domino 11 nun erst einen Certifier /External anlegen. Dann findet er auch alle /External User mittels Base DN O=External.