Das Notes Forum

HCL Notes / Domino / Diverses => Administration & Userprobleme => Thema gestartet von: shiraz am 16.11.23 - 22:56:47

Titel: remote LDAP
Beitrag von: shiraz am 16.11.23 - 22:56:47

Hallo,

wir haben einen Remote-LDAP-Server, dieser ist in da.nsf eingetragen und liefert bei "verify" : success.
aber bei der Adresssuche bekommen wir die Meldung "es wurden keine Einträge gefunen die den Suchbedingungen entsprechen".


Erstelle ich ein Konto in das persönliche Adressbuch, dann finden wir sofort die Adressen!!!. (Die Einstellung im da.nsf und pername sind identisch!)
Externes ldap-Admin-Tool liefert auch Ergebnisse!

Hat jemand eine Idee?
man greift Anonym auf ldapserver (ohne User und ohne Passwort)

Titel: Antw:remote LDAP
Beitrag von: Tode am 17.11.23 - 08:08:53

Kann es sein, dass ihr da ein Firewall- Problem habt? Wenn es von Deinem Client aus funktioniert (also sowohl mit einem Konto im persönlichen Adressbuch als auch mit dem "verify" Button, dann scheint Dein Client ja zum LDAP Server zu kommen. Wenn der Server aber nicht da hinkommt, ist es vielleicht ein Routing- oder Firewall- Problem. Hast Du schonmal auf dem Server versucht, mittels "Telnet" eine Verbindung zum Port 389 des LDAP Servers herzustellen?

Titel: Antw:remote LDAP
Beitrag von: shiraz am 17.11.23 - 08:31:31

Hallo Torsten,

Firewall ist im Ordnung, mit dem Tool Ldap-Admin auf dem Domino-Server erreiche ich den Remote-Server!!!

Titel: Antw:remote LDAP
Beitrag von: CarstenH am 17.11.23 - 11:56:23

Wurde der Test mit dem Ldap-Admin auch mit gleichen Account durchgeführt, mit dem der Domino-Service läuft?
Hat der Domino mehrere Netzwerkadapter oder IPs und, wenn ja, mit welchem versucht er rauszugehen?

Titel: Antw:remote LDAP
Beitrag von: shiraz am 17.11.23 - 13:06:10

Hallo Carsten

>>Wurde der Test mit dem Ldap-Admin auch mit gleichen Account durchgeführt, mit dem der Domino-Service läuft?
ja

>>Hat der Domino mehrere Netzwerkadapter oder IPs und, wenn ja, mit welchem versucht er rauszugehen?

der Server hat mehrer IP-Adressen, aber wir gehen mit eine Bestimme IP raus, genau wie bei der Clients!

Ich habe mit ldapsearch auf dem Server versucht, anbei die Fehlermeldung, ist user und passwort immer erforderlich?

Titel: Antw:remote LDAP
Beitrag von: MaVo am 24.11.23 - 12:39:59

Christian, ist der LDAP Port erreichbar?

Code

Powershell.exe Test-NetConnection -Computername xxx.xxx.xxx.xxx -Port xxx

Nutzt Euer Remote-LDAP-Server ein SSL Zertifikat?

Wenn ich ldapsearch Anfragen mache, nutze ich immer diese LDAP Parameter:

Code

ldapsearch.exe -h xxx.xx.xx.xx -p xxxxx -b "O=xxx" -D xxx -w xxx "(objectClass=person)" cn 

Wobei die Parameter -b für Base, -D für Ldapbinduser und -w für ldpabindpassword optional sind.

Titel: Antw:remote LDAP
Beitrag von: shiraz am 24.11.23 - 13:45:40

HAllo Mavo,

ldapsearch.exe -h 19x.xxx.xxx.xxx -p 15389 -b "dc=abc" "(cn=MUSTERMANN*)" liefert mir Ergebnisse, aber Adrssuche im Client liefert nichts!!!
ohne SSL.

Titel: Antw:remote LDAP
Beitrag von: stoeps am 25.11.23 - 09:05:48

Nachdem das unverschlüsselt ist, häng doch einmal Wireshark oder tcpdump dazwischen und vergleiche die beiden Anfragen. Bzw dreh den ldap debug hoch um zu sehen was der Domino da genau als Abfrage sendet. LDAPDebug=7

Titel: Antw:remote LDAP
Beitrag von: shiraz am 29.11.23 - 17:33:10

In Wireshark sieht man das Paket der Anfrage vom Domino an den Remote LDAP Server. Es wurde auch eine Antwort mit den Informationen an den Domino Server geschickt. Trotzdem am Client die Fehlermeldung...

Im Log vom Domino wurde auch etwas gefunden:

[110C:000E-0464] 29.11.2023 15:50:06,61 <LDAP GW> Searching for name='Carmen Sandiego' in LDAP server='xxx'
[110C:000E-0464] 29.11.2023 15:50:06,61 <LDAP GW>   Base: dc=XXX
[110C:000E-0464] 29.11.2023 15:50:06,61 <LDAP GW>   Scope: 2
[110C:000E-0464] 29.11.2023 15:50:06,61 <LDAP GW>   Filter: (|(cn=Test*)(mail=Test*)(givenname=Test*)(sn=Test*)(uid=Test*))
[110C:000E-0464] 29.11.2023 15:50:06,61 <LDAP GW>   Timeout: 60 secs
[110C:000E-0464] 29.11.2023 15:50:10,49 <LDAP GW> SEARCH returned '67' match(es).

Wer ist Carmen Sandiego? :-:

Titel: Antw:remote LDAP
Beitrag von: stoeps am 30.11.23 - 05:33:48

Moin,
Nachdem da offensichtlich 67 Eintraege gefunden, abernnicht angezeigt werden, würde ich einen Case aufmachen.Welche Server Version ist das denn und welches LDAP? Evtl kann das ja jmd reproduziere.

Titel: Antw:remote LDAP
Beitrag von: eknori am 30.11.23 - 06:19:40

Wie passt denn eigentlich dieser FILTER in das ganze Geschehen?

Code

 Filter: (|(cn=Test*)(mail=Test*)(givenname=Test*)(sn=Test*)(uid=Test*))

Meinem bescheidenen Wissen nach wird hier möglicherweise nach Carmen Santiego gesucht, das Ergebnis dann aber gefiltert ...

Titel: Antw:remote LDAP
Beitrag von: stoeps am 30.11.23 - 06:38:31

Moin,
Nein ich denke die Suche war nach test und der Filter macht eine oder Verknüpfung auf die verschiedenen ldap attribute.

Das Carmen Santiago ist allerdings strange.

Titel: Antw:remote LDAP
Beitrag von: eknori am 30.11.23 - 06:50:01

HaHa, scheint so ein IBM/HCL Gag zu sein ...

https://domino-ideas.hcltechsw.com/ideas/DOMINO-I-434 (https://domino-ideas.hcltechsw.com/ideas/DOMINO-I-434)

zu dem Fehlercode 81 habe ich noch das hier gefunden

https://groups.google.com/g/comp.groupware.lotus-notes.admin/c/FdTfOcOc_uE (https://groups.google.com/g/comp.groupware.lotus-notes.admin/c/FdTfOcOc_uE)

Titel: Antw:remote LDAP
Beitrag von: shiraz am 30.11.23 - 08:53:54

...und es wird immer bunter:

User haben sich beschwert das die Suche in Datenbanken sehr lange dauert, wir haben jetzt rausgefunden wenn wir in eine Ansicht (egal welche Datenbank, egal welche Ansicht) nach etwas suchen (egal was), auf dem Server läuft eine Ldap-Suche mit der gleichen Fehlermeldung !!!
Wir haben LDAP-Suche deaktiviert, Domino 12 und LDAP ist leider für uns nicht einsetzbar.

Hier ein Beispiel:
wir haben einfach nach Lotus im names.nsf gesucht:

Titel: Antw:remote LDAP
Beitrag von: eknori am 30.11.23 - 09:12:14

Die LDAP Ausgaben auf der Console kommen auch, wenn LDAP auf dem Server deaktiviert sind. Domino scheint hier INTERN irgendwie LDAP zu verwenden. Das erklärt auch, warum die AutoPopulated Groups funktionieren, wenn kein LDAP auf dem Server läuft.
Die Ausgaben werden aber nur generiert, wenn LDAPDebug=7 gesetzt ist.

Code

[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>   Found matching entry, Note ID: 9390
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>   Entry:
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     dn: CN=&kst_100_development
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     cn: &kst_100_development
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$lastaccessedinfiletime: 20230807085147.420Z
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     createtimestamp: 20230724060218Z
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     mail: &kst_100_development@singultus.net
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     listname: CN=&kst_100_development
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$unid:: bqdHaNd9ab3GKyEA9oklwQ==
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     objectclass: dominoGroup
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     objectclass: groupOfNames
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     objectclass: top
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$addedinthisfiletime: 20230724060218.920Z
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     excludedmembers: CN=Ulrich Krause,O=singultus
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     selectioncriteria: (&(ObjectClass=person)(department=100))
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$oid:: bqdHaNd9ab3GKyEA9oklwQ4AAADWrzAABIolwQ==
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     grouptype: 0
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     modifytimestamp: 20230807085147Z
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$dbname: CN=serv01/O=singultus!!names.nsf
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$noteid: 9390
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$domain: singultus
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$modifiedinfiletime: 20230807085147.430Z
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$updatedby: CN=serv01/O=singultus
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     $$direntryid:: Tm90ZXM6Ly9zZXJ2MDEvbmFtZXMubnNmLy9CRDY5N0RENzY4NDdBNzZFQzEyNT
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     g5RjYwMDIxMkJDNj9yZXBsaWNhSUQ9QzEyNTczRkUwMDcwQTk5NglOb3Rlc0ROOiZrc3RfMTAwX2
[115850:000010-00007F43EBFD1640] 11/30/2023 09:01:45.45 AM LDAP>     RldmVsb3BtZW50

Und die Carman Santiego ist ein easter egg, wie schon geschrieben. Ist auch noch in DOmino 14 vorhanden

Code

[root@serv02 linux]# strings libnotes.so |grep Carmen
Carmen Sandiego

Titel: Antw:remote LDAP
Beitrag von: shiraz am 30.11.23 - 09:19:19

Guten Morgen Ulrich,


ich muss leider dies widersprechen, wenn wir LDAP in da.nsf deaktivieren funktioniert alles normal und ohne Fehlermeldung und einfache Suche verursacht keine LDAP-Suche und suche ist viel schneller und ohne Pause!.

Titel: Antw:remote LDAP
Beitrag von: eknori am 30.11.23 - 09:35:53

Was die LDAP Anfragen betrifft, könnte es das hier sein https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0036697 (https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0036697)

Frage zu deinem Lotus* search. Hier sehe ich im Filter kein | (pipe) symbol im screenshot. Ist das ein Darstellungsproblem der Domino Console?