Microsoft Windows 2000 Active Directory und Domino LDAP

    Hmm also du meinst ich soll mich mit dem Bind User per LDAP Browser am Domino LDAP Anmelden und dann nach AD Usern suchen? Das funktioniert nicht oder ich gebe dan falschen Suchfilter an.
    Wenn ich mit dem Bind User direkt das AD LDAP browsen will, bekomme ich eine Fehlermeldung dass er nicht die nötigen Rechte hat.

    Hmm also im DA hab ich den LDAP ACCESS eingegeben, der darf ja das AD durchsuchen.
    Aber der Bind User des WSE, darf dies nicht. Dieser wiederrum darf aber das DOMINO LDAP durchsuchen.


    Muss ich nun den Bind User im AD anlegen und ihm das Recht gebene das AD zu durchsuchen???


    Ich hatte doch in einem vorherigen Thread geschrieben, dass ich, wenn ich in einer ACL einer Datenbank einen AD Benutzer eintrage, auch mit dem Benutzer per Webfrontend auf diese Datenbank zugreifen kann. Also muss doch die Verbindung Domino <-> AD funktionieren oder ?


    Nur per WSE funktioniert es noch nicht...

    Was du in einem anderen Thread geschrieben hast weiss ich ja hier nicht.
    Wenn es so ist wie du jetzt schreibst dann muss es an der Verbindung WSE -> Domino liegen.


    Hat der Benutzer mit dem du per LDAP auf Domino zugreifst die entsprechenden Rechte, d.h. kann er überhaupt eines der Adressbücher durchsuchen ?

    Ok sorry, aber war glaub ich in diesem Thread, hab mal wieder Thread mit Post verwechselt... Na ja egal 8-)


    Der bind User kann, mittels ACL, die 4 Domino Datenbanken lesen. Die da wären: names.nsf, interne.nsf, externe.nsf, webuser.nsf


    nur wie kann ich diesem Benutzer da Recht geben auch das AD zu durchsuchen?


    Das müsste doch eigentlich im AD geregelt werden oder? Also User im AD Anlegen, Recht geben und fertig...

    Hier im Thread hast du geschrieben dass du eine Fehlermeldung bekommst wenn du mit einem AD User auf Datenbanken zugreifst.


    Nein, wenn der User auf den Domino zugreift, dann durchsucht dieser ja mit seinen Rechten das AD.


    Der Benutzer mit dem du vom WSE aus zugreifst muss die Möglichkeit haben auf das LDAP Verzeichnis des Dominos zuzugreifen.


    Was sagt denn dein LDAP Browser wenn du dich mit ihm am Domino LDAP anmeldest ?

    HA!


    Jetzt mal was für alle:


    Habe den Bind Benutzer im AD angelegt und ihm das gleiche Passwort gegeben wie dem Bind Benutzer den ich im Domino angelget hab.


    Ergebnis:
    Er hat den Benutzer ÜBERHAUPT GRANICHT nicht mehr gefunden. Die WSE Anmeldung ging generel garnicht mehr, da er nicht im Domino LDAP suchen konnte! Schöner Systemausfall wenn es produktiv wäre ;)


    Hab das Passwort beim AD Benutzer geändert und jetzt gehts wieder...


    Kann auch wieder mit dem Bind Benutzer per LDAP Browser auf das Domino LDAP zugreifen.

    So,
    hab jetzt noch was rausgefunden.
    Ich kann doch mit dem Bind User im AD browsen.
    Allerding nur mit der Benutzer Kennung "Bind User". Mit "buser" also dem Wert des Felds sAMAccountName geht es nicht.


    Kann das damit etwas zu tun haben?


    Es ist weiterhin so, dass zwischen WSE und Domino ein SSO konfiguriert wurde.


    Kann es sein dass dieses nicht auf das AD zugreifen kann?

    Bei der Anmeldung an LDAP brauchst du immer einen vollständigen LDAP Benutzernamen, unabhängig davon ob es ein Domino oder AD LDAP ist.


    Ob SSO auch für LDAP Anmeldungen greift, kann ich dir nicht sagen, ich glaube aber nicht

    Das versteh ich jetzt nicht...
    Ich kann mich doch an einer Domino-Datenbank mit dem Wert aus dem Attribut sAMAccountName anmelden! Dann kuckt er doch auch ins AD ob es diesen Benutzer gibt.


    Also zum Beispiel mit "buser".


    Die Frage ist ja nun warum das über den WSE nicht geht. Denn die Kurznamen auf dem Domino-verzeichniss, z.B. "dadmin" gehen ja auch!

    Du verwechselst da zwei Dinge:


    Die Domino Authentifizierung geschieht über die verwendete SearchFormula, aber die Authentifizierung am LDAP Server geschieht über einen vollständigen LDAP Benutzer


    Du solltest dich vielleicht erst mal mit den Grundlagen beschäftigen bevor du dich an so eine Einrichtung machst

    Tsja weißt ja wie das ist. Ich habe einfach nicht die Zeit dass bis ins kleinste erst nachzulesen. Es soll gemacht werden, es soll schon gestern fertig sein und ich häng damit halt in der Luft.
    Klar würde ich lieber erst alle Domino Schulungen machen, aber das ist leider nicht die Realität...


    Also den vollständingen LDAP Benutzer habe ich ja im AD eingetragen. Und das klappt doch mit den Domino Datenbanken.


    Der WSE kuckt in den Domino Adressbüchern die für LDAP vorgesehen sind nach ob da ein Benutzer drin steht. Das AD ist richtig als Adressbuch eingebunden. Wieso durchsucht er dies dann nicht zusätzlich?

    Genau das was du mit deiner Frage wieder zeigst meine ich.


    Ohne gewisse Grundlagen zu beherrschen wirst du nie was richtig eingerichtet bekommen. Klar hat man nicht immer Zeit alles mal kurz zu lernen, aber dann muss man halt selektieren was genau man braucht.


    Und die LDAP Grundlagen gehören bei deiner Aufgabenstellung halt einfach dazu.


    Was dir hier immer wieder passiert ist dass du LDAP Abfragen mit LDAP Authentifizierung verwechselst.


    Ich kann eine LDAP Abfrage auf Basis eines beliebigen Attributes machen und auch prüfen ob das übergebene Passwort übereinstimmt, aber eine LDAP Authentifizierung damit ich überhaupt eine Abfrage machen kann geht eben nur mit einem vollen Benutzernamen.


    Nimm als Beispiel die Dominoauthentifizierung:


    Anmelden kann ich mich nur mit dem Inhalt ganz bestimmter Felder aus dem Personendokument, eine Suchabfrage kann ich aber z.b. auch über jedes andere Element im Personendokument durchführen.


    Bevor du solche Grundlagen nicht weisst werden wir uns hier immer wieder im Kreis drehen

    Ok, ich versuchs jetzt noch einmal.


    Also um sich überhaupt an einem LDAP Dienst anzumelden braucht man einen Benutzer der das darf.


    Bei mir ist das:
    "CN=LDAP ACCESS,CN=Users,DC=FIRMA,DC=de" mit dem dazugehörtigen Passwort.


    Wenn dies geschehen ist, dann kann mit einem Suchfilter, z.B.:


    (|(sAMAccountName=%*)(cn=%*)(|(&(sn=%a)(givenname=%z))(&(sn=%z)(givenname=%a))))


    Nach Attributen, hier "sAMAccountName" gesucht werden.


    Dies funktioniert ja auch mit Domino-Datenbanken. Ich gebe also einen Benutzer im Stil


    "CN=LDAP ACCESS,CN=Users,DC=FIRMA,DC=de"


    in der ACL der Datenbank an und wenn sich der Benutzer mit seinem Kurznamen (sAMAccountName-Wert) anmeldet, wird im AD nachgesehen ob es den Benutzer gibt und wenn ja dann wird ihm der Zugriff auf die Datenbank gewährt.


    Soweit doch richtig oder?


    Und sorry für die Mühe die ich mache, ich bin mir dessen bewusst.

    Das weiß ich leider nicht...
    Es steht ja auch 2 mal DC drin...
    Das hatte mein Vorgänger eingerichtet und der ist nicht mehr bei uns...
    Kann da jetzt auch nichts mehr dran ändern, da diverse Applikationen sich im AD authentifizieren...

    Eigentlich sollte das eher so aussehen:


    CN=...,OU=..,OU=...,O=...,C=...


    Vermutlich wirst du dich deswegen nie am Domino per LDAP anmelden können, denn so nen Benutzer wie du ihn da auflistest gibt es einfach nicht

    Hmm ich glaub wir reden aneinander vorbei...


    Ich KANN mich doch am Domino mit einem Benutzer der im AD gespeichert ist anmelden.
    Das funktioniert einwandfrei!


    Nur über den WSE funktioniert es nicht. Das ist das einzige Problem das ich noch hab.