**gelöst** LDAP Authentifizierung nicht möglich

Hallo,

ich versuche derzeit die Authentifizierung der Endian von lokal auf LDAP umzustellen.
Jedesmal wenn ich die neuen Einstellungen gespeichert habe und diese übernehmen will erhalte ich die Fehlermeldung "could not read rule 0 because list index out of range".
Weiß jemand von euch was diese Fehlermeldung bedeutet und was ich dagegen machen kann?

Hoffe auf eure Hilfe, MFG fanti

EDIT: bin gerade etwas weitergekommen. Es scheint an den Zugriffsrichtlinien des Proxy´s zu liegen. Sobald ich die Authentifizierung deaktiviere bleibt die Fehlermeldund weg.
Wenn ich jedoch Benutzer oder Gruppenbasiert anwähle erhlate ich neben dem Auswahlfenster die Meldung, dass der LDAP-Server nicht gefunden wurde.
Daher stellt sich mir die Frage an welchen Port bzw. welche Zone ich den LDAP Server anschliessen darf und was dabei zu beachten ist.

Weiss niemand weiter?
Kann mir denn jemand sagen ob ich die richtigen Einstellungen bezüglich Server gemacht habe?

Bei LDAP Server ist 192.169.4.5 eingetragen und dieser ist an einem Port der grünen Zone angeschlossen
Verwendet wird ein OpenLDAP Server

Bind DN EInstellungen: cn=admin,dc=meinedomain,dc=local
Bind DN Benutzername: cn=admin,dc=meinedomain,dc=local
Objektklasse der Gruppe: ou=group,dc=meinedomain,dc=local
Objektklasse der Benutzer: ou=People,dc=meinedomain,dc=local

Obwohl ich diese Einstellungen alle gemacht habe bokomme ich bei den Zugriffsrichtlinien keine Benutzer oder Gruppen angezeigt, sondern nur die Meldung "Kann den AD / LDAP Server nicht finden"

Einen AD Beitritt habe ich nicht gemacht, wusste auch nicht das dies eine mögliche Voraussetzung ist.
Ich habe dieses Wochenende Zeit und werde es ausprobieren und melde mich dann, wenn ichs versucht hab.

Danke schonmal, mfG Peter

So, hatte gestern und heute ein wenig Zeit mich nochmal dranzusetzen und bin etwas weitergekommen.
Es liegt nicht am AD-Beitritt, den ich jetzt auch nicht gmacht habe bzw. nicht machen konnte. Beim nachlesen über den AD-Beitritt usw. fand ich dann aber den entscheidenden Hinweis.

Bei den Servereinstellungen unter "Proxy" >> "Authentifizierung" wird in dem Feld "Objektklasse der Benutzer" und "Objektklasse der Gruppe" nicht der Distinguished Name (DN) der Klasse in der sich die Gruppen bzw. Nutzer befinden eingetragen sondern nur die Art der Objektklasse.
Das bedeutet in meinem Fall das ich im Feld für Nutzer anstatt "ou=People,dc=meinedomain,dc=local" , "posixAccount" eintragen muss.
Und siehe da der LDAP Baum meines Servers kann ausgelesen werden. Oh mann hätt ich gewusst das das nur so ne Kleinigkeit ist........

Allerdings hab ich jetzt wieder eine andere Baustelle. Beim öffnen eines Browsers fragt mich der Proxy nach Name und Passwort (wie es sein soll), akzeptiert jedoch keins, egal von welchem Nutzer. Mal schauen ob ich zu dem Problem was finde

Gruß Peter

Ich dachte schon ich hätte die Lösung mit den Passwörtern die nich angenommen werden in diesem Thread gefunden https://www.efw-forum.de/www/forum/view…66&start=30
Aber irgendwie verstehe ich nicht genau was er gemacht hat (2. letzter Satz).

Zitat von "Gl05e"

problem ist jetzt nun das wenn ich denn richtigen BN und PW eingebe mich der Proxy trotzdem nicht reinlässt sondern einfach wieder nach bn und pw fragt.

edit: das pw wird nun angenommen nach dem ich Authentifizierung für uneingeschränkte Quelladressen erforderlich ausgenommen habe.

Ich habe es so verstanden, dass er als Quelle der Anfrage anstatt "Alle" ein bestimmtes Netz, Zone oder so eingetragen hat, verstehe ich das richtig?

Die Passwörter werden dennoch nicht akzeptiert, hilft GI05e´s Lösung eventuell nicht weil er die 2.2 hat und ich die 2.4 :?

EDIT: Habs jetzt hinbekommen indem ich auf die 2.4.1 gewechselt hab, da ging das mit der Passwortabfrage auf anhieb. War positiv überrascht.

Zitat von "Sabine"

Ich hätte da mal ein Problem ! ! :o
Kannste mal deine Mitarbeiterin schicken ..................... :lol::lol:

Nanu hat ffischer sie doch nicht vorbeigeschickt? :lol:

Spass beiseite, ich mach mal ein konkretes Beispiel.
LDAP-Server: Ich verwende Ubuntu mit OpenLDAP und mach die Administration jetzt mal mit LAM (LDAP Account Manager).
Und beziehe mich auf Endian 2.4.1
Im Anhang hab ich nen Screenshot von nem Baum den ich grad erstellt hab.

In die Felder der Endian wird nun folgendes eingetragen:
Port, IP und Passwort sind ja klar, sowie LDAP-Version = 3 ????,
Bind DN EInstellungen: dc=meinedomain,dc=local ==>==>==> Das ist der Einstiegspunkt an dem die Suche nach Einträgen beginnt, hier ist das jetzt das gesamte Verzeichnis
Bind DN Benutzername: cn=admin,dc=meinedomain,dc=local ==>==>==> Hier muss der DN eines Benutzers stehen der die notwendigen Rechte hat am LDAP hat, zum testen ist Admin der beste

So und wenn du nun in meinen Screenshot schaust siehst du im rechten Abschnitt die Eigenschaften von dem Benutzer lehrer1.
In dem Feld "objektClass" stehen nun die EInträge die du für die Suche verwenden kannst und in die Felder "Objektklasse der Gruppe" bzw. "Objektklasse der Benutzer" eintragen kannst. Hier wären das z.B. "posixAccount", "inetOrgPerson", "person" oder "organizationalPerson" möglich.

Mit diesen Möglichkeiten kannst du ja mal Probieren, "person" klappt fast immer weil diese objektClass in so ziemlich jedem Verzeichnis zu finden ist.

Hilft das beim Verständnis??
Wie wärs du postest mal nen Screenshot von deinem Verzeichnis und den bis jetzt gemachten Endian Einstellungen?

Cala VCE, steht das zufällig für CampusLan??
Ein OpenEnterprise Server? dann hast du doch bestimmt ein NDS bwz. eDirectory?
Das haben wir hier in meiner Schule auch. Und genau da wird dann die Endian eingesetzt.

Das mit dem LDAP hatte ich nur gemacht um in das Thema Verzeichnisdienst reinzukommen, da ich in Sachen Server und Linux ein Neuling bin.

Klingt nach dem gleichen Projekt auf zwei verschiedenen Schulen, aber aus dem selben Grund.

Für die Logs werden wir hier ein Script verwenden, das die access.log von Squid auswertet, die unötigen Teile wegwirft und dann im Tagesrythmus archiviert. Die Tageslogs wiederunm werden dann im Monatsrythmus archiviert. Hintergrund ist, dass die Logs nicht größer als ein Tag werden, da die Logs sonst riesengroß und unübersichtlich werden.
Und dann mal noch schauen, ab welchem alter ein Archiv automatisch gelöscht wird, kann man ja auch per Script automatisieren.

In der Log findest du Zeitstempel -- Unix-Zeitstempel -- Client-IP -- Art der Anfrage -- Name des Benutzers -- URL der angefragten Internetseite und noch ein paar Sachen mehr.
Bei Reihenfolge bin ich mir jetzt nicht sicher und meine Unterlagen liegen grad alle in der Schule.

Die Idee mit dem Script hatte mein Klassenkamerad mit dem ich das zusammen mache. Das Script erstellt mit den Daten der original Logdatei eine neue wo nur die benötigten Daten drinstehen inkl. einer Kopfzeile, damit man auch weiss was da steht und nicht lange überlegen muss.

Am Donnerstag haben wir ein wenig Unterrichtsfreie Zeit und wollten dann das Script fertigstellen und testen. Wenn du bis dahin Zeit hast kann ich dir dann ev. mal ein erstes Ergebnis präsentieren. Das mit dem testen ist bei uns auch immer so ne Sache, da das Internet (bzw. die jetzige Firewall) während des Unterrichts immer laufen soll. Das heisst bei uns von Montag bis Freitag von Morgens 8 Uhr bis Abends um 9 Uhr und der ganze Samstag Vormittag .

2200 Schüler? die schaffen wir nicht, aber mit rund 850 haben auch wir ein paar.

Wie macht ihr das mit den Passwörtern der Schüler? dürfen die diese selbst ändern? wenn ja, wie habt ihr das realisiert?

Diese Möglichkeit besteht bei uns auch. Die Schüler können auch an den Rechnern auf denen die CampusLan Software installiert ist selbst (ohne Lehrer) ihr eigenes Passwort ändern.

Ich dachte da mehr an die Bereiche wo bei uns kein CampusLan zur Verfügung steht bzw. eingesetzt wird. Z. B. die vielen Fachschüler hier mit ihren Laptops, die zum Teil keine Computerräume der Schule nutzen aber via WLAN direkt an den Proxy angebunden sind. Wäre nunmal recht schön wenn auch diese von ihren Laptops aus ihr Passwort selbst ändern könnten.
Gibt es da nicht nen kleinen Webserver oder etwas ähnliches der ein eDirectory verwalten kann und so diese Funktion ermöglicht?

Diese Funktion wird nicht unbedingt gebraucht, wäre aber recht schöne Lösung und verringert den Aufwand bei Lehrern und Schülern.

Zitat von "Sabine"

Ich glaube nicht das das so einfach möglich ist das jeder sein Passwort ändern kann, die Schüler müssen ja
am Server angemeldet sein um ihr Passwort ändern zu können.

Das dachte ich mir auch schon, da stelle ich die Verfolgung dieses Gedanken lieber ein.

Zurück zum ursprünglichen Thema, wie gesagt morgen gibts was bezüglich Log und Script.