Anmelden

150.5002.jpg, 929x554 Pixel, Bytes

Einsatz

Erstellen einer ADAM.Instanz

  • Siehe Programmgruppe ADAM
  • Als Vorlage kann man User oder InetPerson (o.s.ä.) verwenden
  • beim erstellen der ADAM-Instanz kann eine Anwendungspartition erzeugt werden. Man muss den Kontext angeben, z.B:
    • O=Medianexx,C=DE
  • Netzwerkdienstkonto beibehalten
  • Administratorberechtigungen für zurzeit angemeldeten Nutzer
  • InetOrgPerson + User hinzufügen

ADAM hat eine von ADS abweichende Strukturierung (CN/OU) einige Angleichungen sind wohl möglich, aber eine identische ADS-Struktur soll man nicht aufbauen. Aber man kann

Verbinden ADSI mit der ADAM-Instanz

  • Wenn Sie ADAM auf einem Computer unter Windows XP Professional ausführen, der einer Arbeitsgruppe angehört, müssen Sie für den Registrierungsschlüssel HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaforceguest den Wert 0 festlegen. (Der Standardwert ist 1.) Andernfalls werden Benutzer, die über das Netzwerk eine Verbindung zu ADAM herstellen, in den Sicherheitskontext Gast gezwungen, und Bindungen zu ADAM schlagen fehl.
    • diese Einstellung wirkte sich aber problematisch aufs Windows-Netzwerk aus
    • ist erforderlich in .NET System.DirectoryServices.Protocols.LdapConnection beim Standard AuthType=Negotiate, nicht aber bei Basic (Simple Bind)
  • Anschließend kann man sich über Netzwerk und Angabe eines Nutzerkontos (SCALEO/falk + Kennwort) mit der ADAM-instanz verbinden.
  • In Verbindungseinstellungen einen bekannten DN oder den DN der erzeugten Anwendungspartition angeben
  • Lese- und Schreiboperationen sind möglich:
    • unter CN=Configuration kann man container erstellen
    • unter dem Container kann man person erstellen

Probleme mit anderen Tools

  • auf ADAM kann man nicht ohne weiteres mit anderen LDAP-Tools und Anwendungen zu greifen (Softerra LDAP-Browser), wenn diese nur Auth-Type=Simple mit Klartext-Anmeldung verwenden (d.h. keine "Windows-Principials"), ADAM blockt dieses "Binding" ab
    • mittes Binding-Umleitung soll aber ADAM-eigene (auch Simple) Authentikation oder anonyme Anmeldung möglich sein
  • Mit dem ADAM-Browser kann man nicht auf öffentliche Directories zugreifen, diese können mit der ADAM-Authentikation nichts anfangen
  • Das Tracen des ADAM-Verkehrs mit Ethereal scheint problemtisch zu sein. Am Anfang der Session kann man noch einige Search- und Bind-Requests sehen, nach dem Bind scheint alles verschlüsselt zu sein :-( Möglicherweise verwendet ADSI und ADAM ein eigenes Protokoll.

siehe FAQ im Link oben bzw. ADAM-Hilfe (Grundlegendes zur ADAM-Bindungsumleitung)

Anonymous binding

Anschließend kann über normalem LDAP-Browser keine Fehlermeldungen (Error 1 Operation Error) mehr bei öffnen von CN=Configuration.

Anonymous binding is not enabled by default in ADAM. (This is also true for Active Directory.) To allow anonymous LDAP binding to an ADAM instance, complete the following procedure.

To allow anonymous LDAP binding to an ADAM instance:

  1. Open ADAM ADSI Edit.
  2. Connect and bind to the configuration directory partition of the ADAM instance on which you want to allow anonymous LDAP binding.
  3. In the console tree, double-click the configuration directory partition (CN=Configuration,CN={GUID}), double-click the services container (CN=Services), double-click the Windows NT container (CN=Windows NT), right-click the directory service container (CN=Directory Service), and then click Properties.
  4. In Attributes, click dsHeuristics, and then click Edit.
  5. In Value, modify the value of the seventh character in the attribute (counting from the left) to 2 (do not change any other values), as follows: 0000002001001.
  6. Click OK twice.



ADAM User einrichten

siehe http://www.codeproject.com/useritems/ADAM_and_LDAP_ClientNet.asp

war nachvollziebar, auch einige Hintergründe erklärt

User anlegen

Passwort ändern

  • Sicherheitsrichtlinien ändern, (Passwort übertragung über nicht SSL)
    • CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,CN={0AA3246E...
    • Attribut: dsHeuristics
    • Value: 0000000001001
  • mit ADSI
    • User-objekt > rechte Maustaste > Kennwort festlegen
    • nur Password ändern über ADSI OK, jedoch kann man anschließemd nicht des gesetzte Passwort sehen
  • mit ldp (zeigt Fehler besser an)
    • Connect
    • Conntection Options: LDAP_OPT_SIGN=1
    • Bind: mit aktueller Windows-Anmeldung anmelden. Encrypt musste eingeschaltet sein! (anderenfalls können keine Passwörter gesetzt werden)
    • über Tree das User-Objekt suchen und userPAssword modifizieren, Erfolg der Modify-Operation wird angezeigt und das Passwort ist sofot funktionsfähig, es wird aber anschließend in den Attributen nicht angezeigt ("nicht gesetzt")

Simple Bind

  • anschließend klappt die Anmeldung z.B. mit Softerra-Browser
    • als Login vollständigen DN des Nutzers angeben

Simple bind

ADAM user

Nach einrichten eines ADAM-Users kann Simple Bind erfolgen

  • SSL wird hierbei standardmäßg nicht verlangt (CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration: msDS-Other-Settings -> RequireSecureSimpleBind=0)
  • Anmeldung z.B. mit Softerra-Browser OK
  • auch LDP kann Simple Bind ausführen
  • als Login vollständigen DN des Nutzers angeben

Bind Redirection

??? ADS

ADAM-Instanz auf anders System transferieren

auf Dateisystembasis

  • data-Ordner von Quellinstanz kopieren (es genügen die Dateien .dit und .chk), dazu war es notwendig die Quellinstanz zu stoppen (Dienste)
    • die Quellinstanz muss Simple Bind zulassen und es muss ein ADAM-Nutzer mit Adminrechten eingerichtet sein
  • data-Ordner auf eine existierende Zielinstanz überkopieren, Zielinstanz vorher beenden, danach wieder starten

ADSI kann dann nur anmelden mit Administratorberechtigung, wenn vorher (Quellinstanz) mit ADSI.EDIT unter Roles > Administrator > Members > Windows-Konto hinzufügen > Lokale Adminitratorengruppe hinzugefügt wurden (denn nur die hat überall die gleicher SID).

Die Instanz läuft und mann kann auch Objekte anlegen. Allerdings kann man das Schema nicht erweitern 

  • Import mit ldifde meldet Berechtigungproblem
  • mit ADSI-Edit keine Klassen anlegen in Schema (keine Klasse auswählbar).
  • Auch der Schema-Editor-msc kann nicht auf das Schema zugreifen (komische Fehlermeldung)

Eventuell muss man auch in der Configuration-Partition die vor der Transferierung die Lokale Adminitratorengruppe hinzufügen (Vermutung)

Schema exportieren

   
Top

Wir arbeiten mit Software von http://www.campus21.de.

Verantwortlich für angezeigte Daten ist der Webdomain-Eigentümer laut Impressum.

Suche