Autor Thema: LDAP zur Authtifizierung in einem anderen System  (Gelesen 6056 mal)

Offline tfrenz

  • Aktives Mitglied
  • ***
  • Beiträge: 242
  • Geschlecht: Männlich
LDAP zur Authtifizierung in einem anderen System
« am: 29.04.20 - 19:16:55 »
Hallo, ist es möglich HCL Domino als LDAP Server für eine Anmeldung in einem anderen System herzunehmen?
Ich möchte eine Webanwendung mit User und Passwort eingabe per LDAP an HCL Domino zur Authetifzierung hernehmen.
Bisher scheitere ich an der Anforderung.
hat das einer schon gemacht, bzw. geht das überhaupt?
Danke Thomas
« Letzte Änderung: 30.04.20 - 09:04:23 von tfrenz »
Gruß
Thomas

Offline Tode

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.870
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: LDAP zur Authtifizierung in einem anderen System
« Antwort #1 am: 29.04.20 - 22:27:54 »
Klar geht das, Du brauchst nur die richtigen Einstellungsparameter...

Viele Systeme erlauben die Authentifizierung mit ldap credentials. Typischerweise musst Du dazu dem system nur sagen, wo es die Daten herbekommt und welche Attribute Du verwenden willst...

Sag uns doch einfach, woran Du scheiterst, dann können wir sicher helfen.
« Letzte Änderung: 29.04.20 - 23:29:57 von Tode »
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline tfrenz

  • Aktives Mitglied
  • ***
  • Beiträge: 242
  • Geschlecht: Männlich
Re: LDAP zur Authtifizierung in einem anderen System
« Antwort #2 am: 30.04.20 - 09:10:38 »
Hallo Tode,
ich will Nextcloud an den Domino Server anbinden.
Den Zugriff auf den Domino Server konnte ich schon herstellen, mit einem neu angelegten User.
Auch kann ich die Anzahl der User mir anzeigen lassen in Nextcloud.
Aber beim Anmelden kommt, das Benutzername oder Passwort falsch sind.
Ich will mich mit der E-Mail Adresse des Users Anmelden.
Habe zum test einen User von hand angelegt, mit einem HTTPPasswort. Aber der geht nicht.
Gruß
Thomas

Offline Tode

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.870
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: LDAP zur Authtifizierung in einem anderen System
« Antwort #3 am: 30.04.20 - 10:31:50 »
Bist Du denn schonmal systematisch an die Sache rangegangen?

Schritt 1: Prüfen, ob der Server überhaupt richtig konfiguriert ist, um die Anmeldung mit Mailadresse + Internetkennwort zu erlauben: Das kann man mittels ldapsearch.exe aus dem Notes- Verzeichnis über LDAP machen oder mittels Browser über HTTP: Wenn Du Dich da mit den gegebenen Daten anmelden kannst, dann ist auf Domino- Seite schonmal alles OK.
Schritt 2: NextCloud- Konfiguration prüfen: Hast Du die richtige Base-DN, die richtigen Feldnamen für User und Passwort, bekommst Du das Mail- Attribut überhaupt zurück
Schritt 3: sehen wir dann...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline tfrenz

  • Aktives Mitglied
  • ***
  • Beiträge: 242
  • Geschlecht: Männlich
Re: LDAP zur Authtifizierung in einem anderen System
« Antwort #4 am: 30.04.20 - 12:19:23 »
Hallo Tode,
ja am Domino Server mit dem eingerichteten user kann ich mich anmelden.
D.h. Domino ist richtig konfiguriert.
Nun habe ich Nextcloud nochmals getestet.
Mein Test-user ist in der OU ebf-frenz angelegt.
Bei Nextcloud bokomme ich aber die Meldung
LDAP Login: Could not get user object for DN cn=karin pws_klier,o=ebf-frenz. Maybe the LDAP entry has no set display name attribute?
Ein DisplayName ist aber hinterlegt, den habe ich auch schon mit Ldap Browser von Softerra auch gesehen.
Ist displayname: karin PWS_Klier/ebf-frenz
Und wenn der user in der Root liegt, also ohne /ebf-frenz dann kann ich in Nextcloud die baseDN nicht leer lassen.
Gruß
Thomas

Offline DomAdm

  • Senior Mitglied
  • ****
  • Beiträge: 359
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Re: LDAP zur Authtifizierung in einem anderen System
« Antwort #5 am: 30.04.20 - 13:24:15 »
wichtig ist das der verwendete user korrekt angelegt ist

Vorname: karin
Nachname: pws_klier

Benutzername:   karin pws_klier/ebf-frenz
            karin pws_klier

Dann den Befehl "tell ldap verifydit" ausführen und mit Softerra testen.
Jacob

Offline tfrenz

  • Aktives Mitglied
  • ***
  • Beiträge: 242
  • Geschlecht: Männlich
Re: LDAP zur Authtifizierung in einem anderen System
« Antwort #6 am: 30.04.20 - 16:43:07 »
Hallo Tode,

ja user ist richtig angelegt.
Und "tell ldap verifydit" bring Start und Finished verify tree on 'names.nsf'
Softerra bring mir den user auch und auch ein passwordhash.

Auch ein displayname wird mit übergeben.
Aber leider kann vermutlich Nextcloud mit dem /ebf-frenz hier nichts anfangen.
Es kommt ja, das vermutlich der LDAP entry keinen displayname gesetzt hat.

Der ist aber da.
 ???
Gruß
Thomas

Offline Tode

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.870
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: LDAP zur Authtifizierung in einem anderen System
« Antwort #7 am: 30.04.20 - 17:52:59 »
Du weisst aber, dass LDAP nicht mit Slash "/" arbeitet, sondern mit Komma ",".
Ein Notes- Benutzername "CN=karin pws_klier/O=ebf-franz" wird über LDAP so aussehen: "CN=karin pws_klier,O=ebf-franz"

Ich vermute, dass Du die Felder in Nextcloud einfach falsch ausgefüllt hast... Du solltest mal jemanden auf Dein System schauen lassen, der sich auskennt, oder Screenshots der kompletten Konfiguration der nextcloud hier posten (anonymisiert, obwohl Du ja schon genug Klarnamen hier gepostet hast)... Vielleicht sieht man dann, was Du falsch machst...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline tfrenz

  • Aktives Mitglied
  • ***
  • Beiträge: 242
  • Geschlecht: Männlich
Re: LDAP zur Authtifizierung in einem anderen System
« Antwort #8 am: 06.05.20 - 12:52:54 »
Hallo Tode,
danke für die Unterstützung.
Ich habe nun mal die Konfiguration in Nextcloud angehängt.
Ich kann eigentlich keinen fehler sehen.
Danke Thomas
« Letzte Änderung: 06.05.20 - 12:57:22 von tfrenz »
Gruß
Thomas

Offline Tode

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.870
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: LDAP zur Authtifizierung in einem anderen System
« Antwort #9 am: 06.05.20 - 15:37:42 »
Hmmm... sieht soweit OK aus, ich würde nur den DisplayName aus "Andere Attribute" entfernen und "top" ist auch nicht die richtige, das liefert unter Domino ALLE Objekte, nicht nur die Gruppen... da wäre ObjectClass = dominoGroup richtig...

Das einzige was mir da einfällt wäre, dass Deine Authentifizierung nicht funktioniert, weil DisplayName ein Attribut ist, was für Anonymous nicht zur Verfügung steht.... Du könntest probieren, DisplayName mal für Anonymous verfügbar zu machen...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline stoeps

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 830
  • Geschlecht: Männlich
  • It's your life, so live it your way.
    • Stoeps.de
Re: LDAP zur Authtifizierung in einem anderen System
« Antwort #10 am: 06.05.20 - 20:39:30 »
Aber er nutzt doch nen Binduser, warum sollte da Anonymous eine Rolle spielen? Könnte höchstens sein dass displayname nicht eindeutig (unique) ist.

Dreh doch mal den debug hoch und schau was der Domino sagt.

Namelookup, ldap und webauth debugging.
Fang mal mit ldapdebug=7 an.
--
Grüsse
Christoph

Offline bleitner

  • Frischling
  • *
  • Beiträge: 2
Re: LDAP zur Authtifizierung in einem anderen System
« Antwort #11 am: 23.06.20 - 11:47:35 »
Hallo,

ich habe genau dasselbe Problem mit der Anbindung von Nextcloud an Domino. Habe es mit verschiedenen Servern aus verschiedenen Domänen ausprobiert und bei keinem hat es funktioniert. Das LDAP Debug am Domino meldet keine Fehler. Man sieht, dass eine Verbindung stattfindet und der Binduser angemeldet wurde. In Nextcloud erscheint, die Konfiguration als korrekt. Wenn man innerhalb der Konfiguration einen User sucht (Testbutton) bekomme ich ein positives Ergebnis. Suche ich bewusst nach einem falschen Namen, wird bekomme ich eine entsprechende Fehlermeldung. Also scheinbar alles richtig. Ich vermute mal, es hat irgendwas mit den Gruppen in Domino zu tun.

Im Internet habe ich einen Test-LDAP-Server, vermutlich Active Directory, gefunden. Wenn ich diesen anbinde sehe ich im Bereich "Benutzer und Gruppen" die entsprechenden User. Nur eben mit Domino nicht.

Nun die Frage an @tfrenz: Konnten Sie zwischenzeitlich das Problem lösen? Für weitere Hinweise wäre ich sehr dankbar.

Offline tfrenz

  • Aktives Mitglied
  • ***
  • Beiträge: 242
  • Geschlecht: Männlich
Re: LDAP zur Authtifizierung in einem anderen System
« Antwort #12 am: 23.06.20 - 12:37:04 »
Hallo, nein leider auch ich habe keinen Erfolg hier mit Domino.
Da es hier um nur ca. 30 User geht, haben wir beschlossen diese direkt in Nextcloud anzulegen.
Gruß
Thomas

Offline bleitner

  • Frischling
  • *
  • Beiträge: 2
Re: LDAP zur Authtifizierung in einem anderen System
« Antwort #13 am: 30.06.20 - 12:12:13 »
Hallo, vielen Dank für die Antwort.

Wir sind leider auch soweit, dass wir uns überlegen die User direkt anzulegen, da wir keine Idee mehr haben, was noch zu probieren ist. Ich kann mich aber erinnern, dass wir mit einer frühen Version von OwnCloud die LDAP Anbindung hatten. Nachdem wir auf eine neuere Version umgestiegen waren, funktionierte die Anbindung nicht mehr. Ich denke, dass das mit Domino seit der damaligen Änderung einfach nicht mehr funktioniert.

Viele Grüße
B. Leitner

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz