Перейти к содержимому


Фото
- - - - -

DrWEB авторизация в AD через LDAP

Автор Новикевич Александр , апр 20 2013 21:32
AD LDAP авторизация DN CN OU

  • Please log in to reply
32 ответов в этой теме

#21 lioncub

lioncub

    Newbie

  • Posters
  • 18 Сообщений:

Отправлено 21 Август 2018 - 07:38

Привёл как на картинке, только группу изменил. Ничего не изменилось:
 

Некорректная регистрационная информация

 

При этом AD чётко отвечает:

LDAP 88 bindResponse(1) success
LDAP 165 searchResEntry(2) "<ROOT>"  | searchResDone(2) success  [1 result]

#22 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 362 Сообщений:

Отправлено 21 Август 2018 - 11:18

Гляньте, что в логе drwcsd.log пишет.


(exit 0)

#23 lioncub

lioncub

    Newbie

  • Posters
  • 18 Сообщений:

Отправлено 21 Август 2018 - 13:55

Ничего не пишет.


#24 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 362 Сообщений:

Отправлено 21 Август 2018 - 14:12

Тогда надо сделать лог дебажным. --verbosity=ALL --rotate=30,100M


(exit 0)

#25 lioncub

lioncub

    Newbie

  • Posters
  • 18 Сообщений:

Отправлено 22 Август 2018 - 09:36

20180822.082155.53 tr1 [08440 08473] wwr:5  [Srv/Authentication] LDAP-4515: Module order is 20
20180822.082155.53 tr1 [08440 08473] wwr:5  [Srv/Authentication] LDAP-4515: Enable secure and insecure connections
20180822.082155.53 tr1 [08440 08473] wwr:5  [Srv/Authentication] LDAP-4515: Server is set to "domain.com" (SSL is OFF, TLS is OFF)
20180822.082155.53 tr1 [08440 08473] wwr:5  [Srv/Authentication] LDAP-4515: Search base is to "" with scope "sub-tree"
20180822.082155.53 tr1 [08440 08473] wwr:5  [Srv/Authentication] LDAP-4515: CA certificate file is ""
20180822.082155.53 tr1 [08440 08473] wwr:5  [Srv/Authentication] LDAP-4515: Base filter is "&(objectClass=user)(memberOf=\admingrp1)"
20180822.082155.53 tr1 [08440 08473] wwr:5  [Srv/Authentication] LDAP-4515: Total 1 variable defined
20180822.082155.53 tr1 [08440 08473] wwr:5  [Srv/Authentication] LDAP-4515:   Variable "admingrp1" is search result of "dn" attribute in "" with filter "(&(objectClass=group)(cn=Domain Users))" and scope "sub-tree"
20180822.082155.53 tr1 [08440 08473] wwr:5  [Srv/Authentication] LDAP-4515: Total 1 user transformation defined
20180822.082155.53 tr1 [08440 08473] wwr:5  [Srv/Authentication] LDAP-4515:   User "^domain\\(.*)$" specific filter "sAMAccountName=\1"
20180822.082155.53 db3 [08440 08473] wwr:5  [Srv/Authentication] LDAP-4515: Connecting to "domain.com" with login "domain\admin" (SSL OFF, TLS OFF)
20180822.082155.54 tr1 [08440 08473] wwr:5  [Srv/Authentication] LDAP-4515: Search base DN set to "DC=domain,DC=com"
20180822.082155.54 db3 [08440 08473] wwr:5  [Srv/Authentication] LDAP-4515: User "domain\admin" matched to "^domain\\(.*)$" produced "sAMAccountName=admin"
20180822.082155.54 db3 [08440 08473] wwr:5  [Srv/Authentication] LDAP-4515: Variable "admingrp1" set to "CN=Domain Users,CN=Users,DC=domain,DC=com"
20180822.082155.54 db3 [08440 08473] wwr:5  [Srv/Authentication] LDAP-4515: Replace variables in "(&(&(objectClass=user)(memberOf=\admingrp1))(sAMAccountName=admin))" produced "(&(&(objectClass=user)(memberOf=CN=Domain Users,CN=Users,DC=domain,DC=com))(sAMAccountName=admin))"
20180822.082155.54 db3 [08440 08473] wwr:5  [Srv/Authentication] LDAP-4515: Searching at "DC=domain,DC=com" with filter "(&(&(objectClass=user)(memberOf=CN=Domain Users,CN=Users,DC=domain,DC=com))(sAMAccountName=admin))" and scope "sub-tree"
20180822.082155.54 tr1 [08440 08473] wwr:5  [Srv/Authentication] LDAP-4515: Search "DC=domain,DC=com" with filter "(&(&(objectClass=user)(memberOf=CN=Domain Users,CN=Users,DC=domain,DC=com))(sAMAccountName=admin))" and scope "sub-tree" returned unexpected 0 replies

#26 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 362 Сообщений:

Отправлено 22 Август 2018 - 10:57

В memberOf данного пользователя есть 'Domain Users'?


Сообщение было изменено Kirill Polubelov: 22 Август 2018 - 10:57

(exit 0)

#27 lioncub

lioncub

    Newbie

  • Posters
  • 18 Сообщений:

Отправлено 22 Август 2018 - 12:02

Конечно:

 

Прикрепленные файлы:


#28 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 362 Сообщений:

Отправлено 22 Август 2018 - 12:54

А гляньте, пожалуйста, ещё вот этой утилиткой https://docs.microsoft.com/en-us/sysinternals/downloads/adexplorer


(exit 0)

#29 lioncub

lioncub

    Newbie

  • Posters
  • 18 Сообщений:

Отправлено 22 Август 2018 - 13:59

А что там смотреть: primaryGroupID=513


#30 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 362 Сообщений:

Отправлено 22 Август 2018 - 14:01

Как там memberOf отображён, для требуемого пользователя.


(exit 0)

#31 lioncub

lioncub

    Newbie

  • Posters
  • 18 Сообщений:

Отправлено 22 Август 2018 - 14:11

Там не будет Domain Users т.к. это primaryGroup (вот тут об этом говорится)


Сообщение было изменено lioncub: 22 Август 2018 - 14:15

#32 lioncub

lioncub

    Newbie

  • Posters
  • 18 Сообщений:

Отправлено 22 Август 2018 - 14:20

В любом случае спасибо! Уже проглядывается логика Dr.Web.
Сильно заморочились в этих настройках, нигде такого ещё не встречал для связки с LDAP.


#33 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 362 Сообщений:

Отправлено 22 Август 2018 - 15:20

Ну, для упрощенных настроек логика простая -- пользователь задает, в каких группах или комбинациях групп, состоит пользователь, которому разрешён вход. С PrimaryGroup странно, мне кажется я подобное наблюдал только с некоторыми встроенными (builtin) умолчательными группами, к которым, видимо, Domain Users тоже относится.


(exit 0)
Назад к Dr.Web Enterprise Suite

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых

  1. Dr.Web forum
  2. Русские форумы
  3. Dr.Web Enterprise Suite
  4. Privacy Policy
  5. Terms & Rules ·