Autor Thema: vom Client auf ein DomDir zugreifen, welches per LDAP (DA.NSF) befüllt wird  (Gelesen 14856 mal)

Offline danfu

  • Frischling
  • *
  • Beiträge: 32
  • Geschlecht: Männlich
Hallo zusammen,

ich bin heute der Neue :)

Ziel:
Ich möchte ein 2. Adressbuch (DominoDirectory) automatisch per befüllen lassen, quelle ist ein LDAP-Server (Windows AD).

Es ist egal, ob dieses Adressbuch "händisch" beim schreiben einer Mail ausgewählt wird, oder mit dem 1. Adressbuch gleich noch mit durchsucht wird.

Server und Clients sind auf 9.0.1 FP3


Was habe ich bisher gemacht:

DA.nsf (Directory Assistence 8.5.2) erstellt
DA.nsf wie folgt konfiguriert (nur Änderungen)
- DomainType-> LDAP
- Make this domain available to-> Note Clients(X) / LDAP Clients ( )

-Naming context Rules
-N.C. 1: (alles Sternchen, Enabled (yes)

LDAP
Hostname -> ok
Vendor -> Active Directory
Base DN soweit angepasst, dass bis zum User maximal 4 OU's sind
voller DN bis zum User
CN=name,OU=user,OU=Stadt,OU=Land,OU=Unterorganisiation,DC=Gruppenname,DC=Gruppenname

eingetragene DN
OU=Unterorganisiation,DC=Gruppenname,DC=Gruppenname

Preferred mail format -> Internet Mail Adress
Type of seach filter -> Active Directory

Was ich nicht genau weiß, was ist mit "enable Mail Mapping"
Name: proxyAddresses
Wert: SMTP:Name.Stadt@firma.com

Muss das aktiviert sein? oder welcher Wert wird sonst genommen?
Muss nach jeder Änderung der Server neugestartet werden?



Desweiteren habe ich ein neues Adressbuch angelegt (StdR4PublicAddressBook901de)
Dort habe ich unter Konfiguration-> Server -> Konfigurationen: ein neues Dokument angelegt
Allgemein-> Diese Einstellung als Vorgabe für alle Server verwenden (X)

Dann unter dem Server wo die DA.nsf und das 2. Adressbuch liegen, im Serverdokument folgendes geändert
Allgemein-> Verzeichnisinformationen->Datenbankname für Verzeichnisverwaltung: da.nsf

Serverkonsole sh xdir
   DomainName      DirectoryType         ClientProtocol Replica/LDAP Server
   --------------- --------------------- -------------- -----------------------
 1 Firma                 Primary-Notes         Notes & LDAP   names.nsf
 2 Firma 2. AD        Secondary-LDAP      Notes               HOSTNAME AUS DA.NSF
Directory Assistance Database 'da.nsf' in use


Laut meinen Recherchen, müsste es ja jetzt funktionieren, aber tut es nicht. Daher melde ich mich bei euch heute.




Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
ALSO: Die DA ist NICHT dafür da, ein Verzeichnis zu "füllen". Sondern sie ist dafür da, dass Clients beim Adressieren ein weiteres Adressbuch durchsuchen können.
Du kannst also dieses neue Adressbuch, das Du aus der StdR4PublicAddressBook901de erstellt hast, einfach wieder löschen, es spielt keine Rolle in Deiner Konfiguration.

So wie es aktuell konfiguriert ist, solltest Du in der Lage sein, am Client die Adressen aus dem Active- Directory angezeigt zu bekommen.
Fange einfach mal an, einen Namen zu tippen, der nur im LDAP, nicht aber in der names.nsf vorhanden ist: Der Client sollte Dir eine Mailadresse liefern...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline danfu

  • Frischling
  • *
  • Beiträge: 32
  • Geschlecht: Männlich
ALSO: Die DA ist NICHT dafür da, ein Verzeichnis zu "füllen". Sondern sie ist dafür da, dass Clients beim Adressieren ein weiteres Adressbuch durchsuchen können.
Du kannst also dieses neue Adressbuch, das Du aus der StdR4PublicAddressBook901de erstellt hast, einfach wieder löschen, es spielt keine Rolle in Deiner Konfiguration.

So wie es aktuell konfiguriert ist, solltest Du in der Lage sein, am Client die Adressen aus dem Active- Directory angezeigt zu bekommen.
Fange einfach mal an, einen Namen zu tippen, der nur im LDAP, nicht aber in der names.nsf vorhanden ist: Der Client sollte Dir eine Mailadresse liefern...

Ja, soweit war ich leider auch schon, hat aber nicht funktioniert.

Was ich nicht genau weiß, was ist mit "enable Mail Mapping"
Name: proxyAddresses
Wert: SMTP:Name.Stadt@firma.com

Muss das aktiviert sein? oder welcher Wert wird sonst genommen?
Muss nach jeder Änderung der Server neugestartet werden?

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Was sagt den ldapsearch (wird in der Admin-Hilfe sehr gut beschrieben), wenn Du mit diesen DNs und dem entsprechenden Suchfilter auf das AD zugreifst?

Gruss,
Thorsten
Grüsse,
Thorsten

Offline danfu

  • Frischling
  • *
  • Beiträge: 32
  • Geschlecht: Männlich
Was sagt den ldapsearch (wird in der Admin-Hilfe sehr gut beschrieben), wenn Du mit diesen DNs und dem entsprechenden Suchfilter auf das AD zugreifst?

Zugriff habe ich, allerdings habe ich es aufgegeben einen bestimmten Kontakt damit zu suchen.
Ohne Parameter sehe ich die erste Ebene des AD's.

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Oh mei... man könnte meinen, dass ich ein Problem gelöst haben will...

Warum hast Du es aufgegeben? Liegt es an der Syntax?

ldapsearch -h hostname_des_ldap -p 389 -D "Dein Loginname" -w "Dein Kennwort" cn=vorname nachname

(AD hat für den globalen Katalog den Port 3268, sonst hast Du wahrscheinlich nur einen eingeschränkten AD-Baum)

Mal ohne Base DN und Restriktionen anfangen, dann eingrenzen.
Ich würde erst weiter in der DA arbeiten, wenn Du eine erfolgreiche Abfrage im ldapsearch (oder in sonst einem ldap-Tool hast).

Gruss,
Thorsten

Grüsse,
Thorsten

Offline danfu

  • Frischling
  • *
  • Beiträge: 32
  • Geschlecht: Männlich
Oh mei... man könnte meinen, dass ich ein Problem gelöst haben will...

Warum hast Du es aufgegeben? Liegt es an der Syntax?

ldapsearch -h hostname_des_ldap -p 389 -D "Dein Loginname" -w "Dein Kennwort" cn=vorname nachname

(AD hat für den globalen Katalog den Port 3268, sonst hast Du wahrscheinlich nur einen eingeschränkten AD-Baum)

Mal ohne Base DN und Restriktionen anfangen, dann eingrenzen.
Ich würde erst weiter in der DA arbeiten, wenn Du eine erfolgreiche Abfrage im ldapsearch (oder in sonst einem ldap-Tool hast).

c:\IBM\Domino>ldapsearch.exe -h Servername -D "cn=benutzername,ou=test,ou=user,ou=XXX,OU=de,OU=YYY
s,DC=ZZZ,DC=ZZZ" -w password CN=ewolf



ldap_bind_s( dn=cn=benutzername,ou=test,ou=user,ou=XXX,OU=de,OU=YYY,DC=ZZZ,DC=ZZZ, pw=password, method=128) failed, error: resultCode 49 (Invalid credentials)

ldap_bind_s( dn=cn=Benutzername,ou=test,ou=user,ou=XXX,OU=de,OU=YYY,DC=ZZZ,DC=ZZZ, pw=password, method=128 ) failed, error: errorMessage: 80090308: LdapErr: DSID-0C0903C8, comment: AcceptSecurityContext error, data 52e, v23f0

Cannot complete the operation. Notes is running but not responding. Please close
 and restart Notes.

Wenn ich mir allerdings den LDAP-Browser installiere, komme ich überall hin.




Frage: Wo bekomme ich in den Einstellungen des Forum, eigentlich diesen Mailbutton auf der linken Seite raus?
« Letzte Änderung: 02.04.15 - 16:00:39 von DanFu »

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Die Rückmeldung ist ja eindeutig... Benutzername oder Kennwort falsch. Wie meldest Du Dich am Windows an oder mit rpc auf einer Deiner Windows-Server? Ist ja entweder “Vorname Nachname“ oder der kurze Name...
Grüsse,
Thorsten

Offline danfu

  • Frischling
  • *
  • Beiträge: 32
  • Geschlecht: Männlich
Ja, da muss ein Fehler in der Syntax sein. Hab als abmeldename den CN versucht, sowie den kompletten CN inkl. DN

Wie gesagt, mit dem ldap Browser klappts, kann ich den Abruf manuell starten und in der Konsole einen Fehler sehen? Auch wenns der selbe ist


Gesendet vom iPhone mit Tapatalk

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Du wirst Dich doch am Windows nicht mit cn, dn und den ou anmelden sondern wahrscheinlich mit Vor- und Nachname oder Deinem Benutzername und den solltest Du auch hier verwenden. Auch Deine Windows-Admins sollten Dir doch helfen können. Zudem wird der cn wahrscheinlich nicht ewolf lauten...
Grüsse,
Thorsten

Offline danfu

  • Frischling
  • *
  • Beiträge: 32
  • Geschlecht: Männlich
Egal wie, es kommt immer Invalid credentials.

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Dann musst Du die Domäne auch mitgeben beim Benutzernamen:

-D 'DOMAINNAME\Username'

Wenn ich im AD der Domäne TEST mit Ole Olsen und dem Benutzernamen oolsen angelegt bin, dann sieht das so aus:

-D 'TEST\oolsen'

Mit dem -D 'CN=....." sollte das aber auch klappen.

Gruss,
Thorsten



« Letzte Änderung: 07.04.15 - 10:46:39 von Pfefferminz-T »
Grüsse,
Thorsten

Offline danfu

  • Frischling
  • *
  • Beiträge: 32
  • Geschlecht: Männlich
hatte ich auch schon versucht... selbes Ergebnis,

habe folgende Versionen versucht:

Domain\USERNAME
Domain\CN
CN
USERNAME
DN

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Da es auf dem Screenshot nicht richtig zu sehen ist... Benutzername und Kennwort hast Du schon jeweils in Anführungszeichen " bzw. dem geraden Apostroph '  ?

Grüsse,
Thorsten

Offline danfu

  • Frischling
  • *
  • Beiträge: 32
  • Geschlecht: Männlich
Da es auf dem Screenshot nicht richtig zu sehen ist... Benutzername und Kennwort hast Du schon jeweils in Anführungszeichen " bzw. dem geraden Apostroph '  ?

Habs jetzt... Warum auch immer, hat der in der DA.NSF sowie im LDAP-Browser den USERNAME vervollständigt... Jetzt kommt nur noch die Meldung
ldap_search: resultCode 32 (No such object)

Kann das an der Tiefe des AD liegen?

Haben folgende Struktur->

CN=USERNAME,OU=user,OU=bc2,OU=de,OU=hXXXXXn,DC=hYYYY,DC=ZZZZ
« Letzte Änderung: 07.04.15 - 11:43:21 von DanFu »

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Kenne die Abfragen/Rückmeldung zum/vom AD auch nicht genau, aber Du hast aktuell keine Base DN angegeben und im AD muss man natürlich auch die Berechtigung haben, auf diese Informationen zuzugreifen.

Wenn man mit Google zu der Meldung sucht, dann gibt es folgenden Hinweis:

Try adding the base DN, like:
ldapsearch -b "ou=..,o=...,c=.." -h <ldap_servername> "objectClass=*"

To find out what the base DN is on your LDAP server, use the following search:
ldapsearch -s base -h <ldap_servername> "objectClass=*"

Generell würde ich mir aber dann doch vielleicht jemand für einen Tag ins Haus holen, der euch bei der Einrichtung hilft. Und mit den AD-Administratoren sollte man vielleicht auch Kontakt aufnehmen, u.U. können die beim Thema ldap/Suche auch weiterhelfen.

Gruss,
Thorsten

P.S.: Was bekommst Du denn zurück, wenn Du nach einem realen Nutzer (cn=....) suchen lässt?
Grüsse,
Thorsten

Offline danfu

  • Frischling
  • *
  • Beiträge: 32
  • Geschlecht: Männlich
Klappt, ich muss "binden"

ldapsearch.exe -h debdidc001 -p 389 -D "cn=android-XXX, ou=ressource, ou=sgn, ou=de, OU=Abteilung, DC=YYY, DC=ZZZZ" -w "Start123" -b "DC=YYY,DC=ZZZZ" "objectClass=*"

damit wird das komplette AD wiedergespiegelt, dauert zwar n moment, aber geht :)

Mit Bind, kannst logischerweise auch noch n Schritt tiefer gehen.

Soweit so gut, Zugriff auf's AD steht, was ist jetzt mit der DA.nsf?
Muss nach jeder Änderung der Server neugestartet werden?

Was ich nicht genau weiß, was ist mit "enable Mail Mapping"
Name: proxyAddresses
Wert: SMTP:Name.Stadt@firma.com

Sollte ich bei den Rules noch was eintragen oder alles so lassen?

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Nein es muss nicht nach jeder Änderung der Server neu gestartet werden. Wie in der Admin-Hilfe beschrieben zeigt Dir "show xdir" die aktuelle Konfiguration und "show xdir reload" lädt die aktualisierte Konfiguration. Alle 30 Minuten macht das der Server auch automatisch.

"Enable name mapping" musst Du für das Lesen bzw. Adressieren nicht aktivieren und bei den Rules würde ich alles erst mal so lassen. Wenn Du dort etwas einschränken willst, dann solltest Du Dir die Doku dazu mal durchlesen. Da sollte man dann schon wissen, was man damit bewirkt.


Hier gibt es zudem ein Dokument welches Dir beim Troubleshooting hilft:
http://www-10.lotus.com/ldd/dominowiki.nsf/dx/directory-assistance-troubleshooting-script
Grüsse,
Thorsten

Offline danfu

  • Frischling
  • *
  • Beiträge: 32
  • Geschlecht: Männlich
Ich muss das nochmal hoch holen.

# es ist alles richtig eingestellt
# ldapsearch liefert mir auch die korrekten Ergebnisse
# lesender Zugriff auf das AD ist auch vorhanden
# was kann man denn noch alles falsch machen?

Ich komm hier echt nicht weiter..

Das TS-script kannte ich schon, trotzdem danke!

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Hast Du das TS-Skript durch und da ist alles erfolgreich? Was passt denn nicht bzw. was versuchst Du zu erreichen? Deine Ausgangslage war ja, dass Du ein Domino Verzeichnis über LDAP befüllen wolltest was aber natürlich nicht die Funktion der DA ist. Ohne Informationen kann man schlecht helfen.
Grüsse,
Thorsten

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz