LDAP LDAP Server als Benutzerverwaltung für Win 7 Clients - meine Version zur Diskussion

[Galileo]

Bei Group DN Pattern habe ich nichts eingetragen, auch kein Passwort. Für was ist dieses nötig?

Damit wird abgefragt zu welchen LDAP-Gruppen ein Nutzer gehört. Ich habe das verwendet, weil ich die Leute differenziert den lokalen Gruppen "Benutzer" und "Administratoren" (oder keiner der beiden) zuordne. Da du aber alle LDAP-User undifferenziert als Benutzer eingruppierst brauchst du die LDAP-Gruppen auch nicht abfragen.

Authorization habe ich verstanden, da bei uns jeder auf jedem Rechner Zugriff haben sollte , brauche ich diesen Punkt nicht zu beachten, denke ich

Wenn du jeden authentifizierten User an jedem Rechner zulassen willst kannst du das übergehen.

Gateway, die Lokale Gruppenzuweisung für die Rechte habe ich nicht genutzt aber festgestellt, dass standard die User als Benutzer angemeldet werden.

Einfach so als "standard" werden die LDAP-User eigentlich nicht der Gruppe "Benutzer" zugeordnet soweit ich weiß, es sei denn sie sind vor der Anmeldung lokal in dieser Gruppe schon drin, dann wird das je nach Konfiguration beim Anmelden übernommen.

Für Admin nutze ich das lokale Profil. Ich denke das braucht man nur, wenn auch Nutzer als admin sich am PC anmelden sollten oder ??

Ja, wie gesagt: Wenn du keine LDAP-User als Admin zulassen willst kannst du dir die Unterscheidung das sparen.

Bei LM Konfig den Punkt "Always authenticate local users" verstehe ich nicht ganz. Hat dieser was mit dem Punkt weiter oben Gateway zu tun , sprich wenn man die Rechtsvergabe bei der Anmeldung nicht dem Standard überlassen will ?

Der Punkt bedeutet, dass lokale User von der LM auch dann noch authentifiziert werden, wenn sie vorher bereits durch LDAP authentifiziert sind (dazu muss LDAP in der Reihenfolge vor LM sein). Das ist deshalb von Bedeutung, weil bei einer Authentifizierung durch die LM die lokal zugeordneten Gruppen übernommen werden.

Wenn also zum Beispiel ein User in der lokalen Benutzerverwaltung bereits zur Gruppe "Benutzer" gehört, und er wird beim Anmelden durch die LM authentifiziert, dann wird er auch als Mitglied dieser Gruppe angemeldet.

Ist dieses Häkchen nicht gesetzt, und der User wird durch LDAP authentifiziert, dann entfällt die LM-Authentifizierung, und der User wird zum Gast, weil seine Gruppen nicht übernommen werden.

Mit dem Scramble Pw verstehe ich nicht was damit gemeint ist. Wenn ein User sich an einem PC abmeldet, kann sich wer mit diesem Pw nochmals anmelden ?? Welchen Vorteil hat dies von der Sicherheit.

Scramble Pw bedeutet, dass das Passwort des Users in der Windows-Benutzeranmeldung zerstört wird. Der User kann sich daher ausschließlich über LDAP wieder authentifizieren, nicht über die LM.

Das mit dem Gastzugang interessiert mich. Muss mal schauen ob ich das auch nur auf einem Pc zum laufen bekomme. Wir haben einen Gastrechner vielleicht wäre deine Idee dort einsetzbar.

Gast ist er dann wenn er nicht zur Gruppe Benutzer oder Administratoren gehört.

Ein Problem habe ich noch und da hängt es am Verständnis.

Wir haben für unsere Branche viele kleine zusätzliche Programme die ich nicht auf jeden Rechner installieren möchte da diese nur sporadisch genutzt werden. Dafür habe ich den o.g. Gastrechner ebenfalls mit eingerichtet. Dort gibt es ein Benutzerkonto "Tarifrechner" Dieses ist für Remotedesktopverbindung freigegeben.

Ziel dahinter: Möchte jemand z.B. eines dieser besagten Tools nutzen meldet er sich über Terminal mit dem Konto Tarifrechner am Gastrechner an. Dann erscheint die Anmeldemaske von Pgina. Er sollte er seine normalen Nutzerdaten benutzten. Mit dem lokalen Adminkonto geht das aber versuche ich mich mit einem LDAP KOnto anzumelden, erscheint die Meldung, "Dieser Benutzer hat für diese Anmeldung nicht die Rechte oder so ähnlich" Bin jetzt leider nicht im Büro. Jetzt verstehe ich nicht an was das liegt.

Hast du eine Idee?

Nein, kann ich so nicht nachvollziehen. Im Zweifel sollte man es immer am Logfile rausfinden können.

Hast du in diesem Bereich eine Schulung gemacht oder woher kommt das Fachwissen ?

Habe durchgewühlt, bin eben hartnäckig. Eine komplette konsistente Doku hätte mir dabei sicher geholfen, darum dachte ich, ich mache einen für den nächsten der es braucht.

 

[Daniel Albert]

Hallo,

Danke für deine schnelle Antwort.


Das mit dem Scramble muss ich mir mal anschauen. Ich glaube ich muss mal wie du das System richtig austesten, ob sich ein User auch an dem PC anmelden kann, wenn die NAS mal Probleme macht.

Auch muss ich mal schauen ob die Benutzer in Windows überhaupt angelegt werden, glaube nähmlich nicht, also sind es Gastzugänge aber das mache ich am Mittwoch. Gleiche gilt für das Logfile.

Ich melde mich.

Danke

Gruß Daniel

 

[Daniel Albert]

Guten Morgen,

also Fehler bei dem einen PC, wo sich der User nach Reaktivierung aus Bildschirmschoner Modus nicht mehr anmelden konnte ist gelöst. Da hat Pgina ein Plugin aktiviert was ich nicht beabsichtigt habe. Nach Neuinstallation hat es funktioniert.
Danke für deine Hilfe

Nun zu meinem anderen Problem. Ich kann mich über das Netzwerk per Remotedesktopverbindung mit dem Tarifrechner PC Verbinden. Dafür habe ich lokal ein Benutzerkonto eingerichtet und für Terminalverbindungen freigegeben. Nach Anmeldung kommt ja die Pgina Startmaske und da erscheint der besagte Fehler (siehe Anhang 7 Bild ist ein wenig unscharf steht nur "Anmeldung fehlgeschlagen. Der Benutzer besitzt nicht den benötigten Anmeldetyp auf diesem Computer")

Im Logfile glaube ich habe ich den Fehler gefunden. Er kann den Benutzer keiner Gruppe zuweisen.

Denke ich muss bei diesem PC deinen Weg gehen oder hast du eine andere Idee?

Hast du auch einen Plan von Scripten die beim Start bestimmte Ordner verschieben sollen usw. ?

Gruß Daniel

 

[Galileo]

Beim letzten Login-Prozess im Logfile sehe ich jetzt keinen Fehler, der Administrator wird von beiden Plugins authentifiziert und auch der Gateway funktioniert.

Funktioniert das Ganze denn ohne pGina?
Wie läuft das genau ab mit der Remote-Verbindung, habe das noch nie versucht.

 

[Daniel Albert]

Hallo,

das letzte Login ist ja das, wo ich dann das Logfile kopiert habe, sprich das passt ja auch. Eins darüber meine ich, da sieht man auch, dass der fragen zu den Benutzergruppen "Remotedesktopbenutzer" usw. hat.

Wie es funktioniert:

Ich sitze an meinem Arbeitsrechner und melde mich im hintergrund über einen Terminaldienst an den jeweiligen PC an. An dem PC kann gerade direkt ein Benutzer sitzen und ich öffne einen 2ten Benutzerzugang im Hintergrund. So arbeite ich bei uns im Netzt. Hat jemand ein Problem mit dem PC renne ich nicht zu ihm sondern versuche das Problem per Remotedesktopverbindung zu lösen. Geht das nicht schickt mir dieser ein Ticket per "msra" Windows remotedesktopunterstützung". Ist ähnlich Teamviewer nur hat bei Windows schon integriert.

Ohne pgina funktioniert es, denn da kommt ja keine Abfrage mehr.

Über den Administrator funktioniert es auch, sprich ich melde mich mit dem lokal hinterlegten Adminkonto per Terminal an , dann kommt die Pgina Anmeldemaske und dort gebe ich wieder die Benutzerdaten vom Adminkonto ein, das funktioniert. Scheinbar weil die Gruppe festgelegt ist.

Oder was meinst du?

Gruß Daniel

 

[Galileo]

Ja, beim vorletzten Anmeldeversuch denke ich, es fehlen die Gruppen, d.h. der lokale User D.Albert scheint kein Mitglied einer Gruppe zu sein:

2014-02-26 09:18:24,752 [1780|19|DEBUG] LocalAccount[D.Albert]: SyncToLocalUser()
2014-02-26 09:18:25,034 [1780|19|DEBUG] LocalAccount[D.Albert]: Checking for groups to remove.
2014-02-26 09:18:25,096 [1780|19|DEBUG] LocalAccount[D.Albert]: Checking for groups to add
2014-02-26 09:18:25,096 [1780|19|DEBUG] LocalAccount[D.Albert]: End SyncToLocalUser()

Zum Vergleich beim letzten, erfolgreichen Login:

2014-02-26 09:18:42,252 [1780|10|DEBUG] LocalAccount[Administrator]: SyncToLocalUser()
2014-02-26 09:18:42,502 [1780|10|DEBUG] LocalAccount[Administrator]: Checking for groups to remove.
2014-02-26 09:18:42,565 [1780|10|DEBUG] LocalAccount[Administrator]: Remove Administratoren?
2014-02-26 09:18:42,565 [1780|10|DEBUG] LocalAccount[Administrator]: Remove Remotedesktopbenutzer?
2014-02-26 09:18:42,565 [1780|10|DEBUG] LocalAccount[Administrator]: Checking for groups to add
2014-02-26 09:18:42,581 [1780|10|DEBUG] LocalAccount[Administrator]: Add Administratoren?
2014-02-26 09:18:42,596 [1780|10|DEBUG] LocalAccount[Administrator]: Add Remotedesktopbenutzer?
2014-02-26 09:18:42,627 [1780|10|DEBUG] LocalAccount[Administrator]: End SyncToLocalUser()

Ist denn der User D.Albert lokal tatsächlich auf dem Zielrechner kein Mitglied irgend einer Gruppe?

 

[Daniel Albert]

Hallo,

nein auf dem PC unterliegen diese Benutzerkonto welche ja nur unter der Verwaltung ersichtlich keiner Gruppen.

ich habe mal heute versucht deinen Vorschlag bei diesem einen Computer welcher über den Terminal betrieben werden soll zu konfigurieren.
Ich habe auf der NAS LDAP eine Gruppe "Win-User" erstellt und dort einen Nutzer eingefügt.
Dann habe ich in pGina unter LDAP Setting bei Search Password das Kennwort vom LDAP Server eingeben und unter Group DN Pattern den dazugehörigen String.
Unter Authorization habe ich If Member of LDAP group "Win-User" allow hinzugefügt und Deny when LDAP ... aktiviert
Bei Gateway steht If Member of LDAP group "Win-User" add to local group "Benutzer"
Bei Konfig LM habe ich alle Häckchen vorerst wie bei dir entfernt.

Ich bekomme aber bei der Simulation folgende Fehlermeldung (siehe Anhang)

Stelle ich bei Konfig LM unter "Require membership in one of the following local Group "Benutzer" ein spuckt das Logfile folgendes aus(siehe ANhang)

Leider erhalte ich immer noch die Fehlermeldung, wenn der User über Terminal sich auf dem Rechner mit dem Benutzerkonto Tarifrechner" anmeldet und dann über Pgina sein LDAP Benutzerkonto nutzt.

Wo liegt der Fehler ? Ziel wäre vorerst den LDAP User in die lokale Benutzergruppe "Benutzer" zu schieben.

Was habe ich falsch gemacht?

Gruß DanielAnhang anzeigen Wenn letzter Punkt unter LM deaktiviert.txt und Anhang anzeigen Meldung Anmeldeung.txt

 

[Galileo]

Hallo,

Im Logfile "Wenn letzter Punkt unter LM deaktiviert" liegt es wohl daran, dass beim Autorisieren die Gruppenmitgliedschaft nicht gefunden wird:

Dein Logfile:
2014-02-27 13:45:47,325 [1|DEBUG] LdapServer: Successful bind to 192.168.178.28
2014-02-27 13:45:47,340 [1|DEBUG] LdapServer: Searching for group membership, DN: cn=Win-User,cn=groups,dc=effekt,dc=finanz Filter: (memberUid=c.zierke)
2014-02-27 13:45:47,340 [1|DEBUG] LdapPlugin: User c.zierke is not member of group Win-User

Bei mir sieht das so aus:
2014-03-04 13:27:22,466 [1|DEBUG] LdapPlugin: LDAP Plugin Authorization
2014-03-04 13:27:22,466 [1|DEBUG] LdapServer: Attempting anonymous bind
2014-03-04 13:27:22,466 [1|DEBUG] LdapServer: Successful bind to 192.168.178.16
2014-03-04 13:27:22,482 [1|DEBUG] LdapServer: Searching for group membership, DN: cn=win-user,cn=groups,dc=DS1513,dc=local Filter: (memberUid=c.zierke)
2014-03-04 13:27:22,482 [1|DEBUG] LdapPlugin: User c.zierke is member of group win-user
2014-03-04 13:27:22,482 [1|DEBUG] PluginDriver:c0ffeeb8-2008-4bcc-9138-e44d365b85da: Calling 12fa152d-a2e3-4c8d-9535-5dcd49dfcb6d
2014-03-04 13:27:22,482 [1|INFO ] PluginDriver:c0ffeeb8-2008-4bcc-9138-e44d365b85da: Successfully authorized c.zierke

Ich vermute ein Groß-/Kleinschreibungsproblem, im anderen Logfile hast du nämlich nicht "c.zierke" sondern "C.Zierke" geschrieben. Achte mal drauf, dass bei User- und Gruppennamen die Groß-/Kleinschreibung an allen Stellen genau übereinstimmt.

Dann probier nochmal.

 

[Daniel Albert]

Hallo,

stimmt werde ich mal ausprobieren. Den einen Fehler habe ich gestern gefunden. Ich habe ja das Problem, dass ich über eine Remotedesktopverbindung auf einen PC zugreifen möchte und die besagte Fehlermeldung kommt. Wenn ich den Punkt Passwordprovider entferne, funktioniert es, da die Pgina Abfrage nicht mehr kommt.

Muss mal heute noch einige Tests machen ob das für diesen Computer passt. Ist unser Gastrechner daher nicht so wichtig ob er sich über Pgina anmelden kann oder nicht. Rechte auf der NAs gibt es eh keine

Danke für deine Hilfe.

Gruß Daniel

 

[catweazle71]

Hallo galileo,

erst einmal möchte ich Dir ganz großes Lob aussprechen

Dein Tutorial ist einsame Spitze!!! Damit habe ich erstens LDAP Auth ans Laufen bekommen und zweitens den ganzen Machanismus besser verstanden. Zugegeben brauche ich das in meiner Umgebung nicht wirklich, ich bin aber immer interessiert, Neues auszuprobieren und ans Laufen zu bekommen.

Nun hätte ich dennoch ein paar erste Fragen, so als Newcomer

1. Wahrscheinlich ist es nicht möglich, die Rechte der Windowsgruppen irgendwie über den LDAP Server zu steuern, oder? Mal angenommen, man würde eine eigene Gruppe in Win erzeugen und individuelle Rechte vergeben wollen. Diese Gruppe mit ihren Rechten sollen dann auf mehrere Clients verteilt werden. Das geht wohl nur mit Windows Mitteln?

2. Gibt es eine Möglichkeit, die Konfiguration der pGina zu sichern?

3. Gibt es eine Möglichkeit, pGina temporär zu deaktivieren und die Windows Gina wieder zu aktivieren? Ich habe mal versucht, den Dienst zu deaktivieren. Das hat aber nix genützt. Ich bekomme weiterhin den pGina Anmeldedialog.

 

[lukas_schmid]

Hallo Galileo
Wirklich eine perfekte Anleitung, herzlichen Dank.
Ich habe das mal durchgespielt, stosse aber auf ein Problem mit der Gruppenzugehörigkeit.
Im Simulator sagt er mir OK (siehe Bild) bin ich aber eingeloggt, erscheint der User immer noch als Gast.
Irgend eine Idee?

 

[Galileo]

Hallo ihr beiden,

vielen Dank.

Bin allerdings gerade nach langer Zeit zum ersten Mal wieder hier und auch gedanklich etwas vom Thema weg. Meine Server machen das was sie sollen ohne dass ich sie großartig anfasse.

 

[Palatino]

Hallo Galileo,

auch ich konnte mit Hilfe Deiner Dokumentation meine LDAP-Probleme lösen und habe jetzt ein besseres Verständnis für das Zusammenspiel von LDAP-Server und pGina.

Nachdem ich gesehen habe, dass Du mal wieder ins Forum reingeschaut hast, hier eine Antwort zu Deiner Frage:

Die FQDN habe ich an dieser Stelle komplett willkürlich gewählt, also frei erfunden. Man könnte hier natürlich die DDNS-Internetadresse der Station benutzen (subdomain.topdomain.com oder so), ich wüsste aber momentan nicht, welche Vorteile das haben sollte. Vielleicht kann jemand dazu etwas sagen?

Der (FQ)DN soll für einen eindeutigen Namensraum sorgen. Da jede Domain nur einmal weltwelt vergeben werden kann, ist es eine beliebte Praxis, diese als Basis für hierarchisch generierte Namen zu benutzen (z.B. auch im XML-Umfeld). Der Rechnername oder -typ als Bestandteil des "Base DN" kann hinderlich oder irreführend beim Umzug auf eine andere Hardware sein. Domainnamen sind in der Regel sehr langlebig.

 

[lukas_schmid]

Hallo
Ich verstehe nicht ganz, aber das sind glaube ich keine Antworten auf mein Problem mit dem "Gastbenutzer", statt der Zugehörigkeit zu einer locale Gruppe.
Gibt es dazu irgend welche Erkenntnisse, oder Wege wie ich das tracen könnte?
Danke für ein kurzes Feedback, Lukas

 

[Galileo]

Hallo Lukas,

nein, ich habs mir schon angekuckt aber leider keine Idee.

 

[Galileo]

Hallo Palatino,Nachdem ich gesehen habe, dass Du mal wieder ins Forum reingeschaut hast, hier eine Antwort zu Deiner Frage

Danke, ja, das macht in der Regel wohl Sinn, allerdings wird mein Netz nicht solche Dimensionen annehmen dass das relevant ist.

 

[Galileo]

Hallo catweazle,

danke auch dir.

1. Wahrscheinlich ist es nicht möglich, die Rechte der Windowsgruppen irgendwie über den LDAP Server zu steuern, oder? Mal angenommen, man würde eine eigene Gruppe in Win erzeugen und individuelle Rechte vergeben wollen. Diese Gruppe mit ihren Rechten sollen dann auf mehrere Clients verteilt werden. Das geht wohl nur mit Windows Mitteln?

Danach habe ich auch gesucht aber nichts gefunden.

2. Gibt es eine Möglichkeit, die Konfiguration der pGina zu sichern?

Weiß ich jetzt nicht wo das gespeichert wird, müßte man mal suchen. Für mich ist pGina eben Teil des Systems, das mit dem System-Image gesichert wird.

3. Gibt es eine Möglichkeit, pGina temporär zu deaktivieren und die Windows Gina wieder zu aktivieren? Ich habe mal versucht, den Dienst zu deaktivieren. Das hat aber nix genützt. Ich bekomme weiterhin den pGina Anmeldedialog.

Zum völligen deaktivieren habe ich nichts gefunden. Aber solange man in den "Credential Provider Options" unter "Password Provider" kein Häkchen setzt ist ja pGina mittels lokalen Anmeldedaten umgehbar, man drückt am Startbildschirm einfach auf "Benutzer wechseln".

 

[Frederic87]

Frage zu Pattern und DN

Hallo,

Ich wollte jetzt auch mal pGina einrichten, bei mir klappst aber mit der Group zu Ordnung nicht. Gibt es eine Richtlinie oder Anleitung auf was man achten muss User und Group DN Pattern

Ich verwende eine DS 112+ und ein Windows 7 Pro
Vielen Dank für eure Hilfe

 

[-Tha-]

Hallöele,

ich hab auch versucht eine funktionierende LDAP-Umgebung einzurichten - mich grds. an die Anleitung in diesem Thread gehalten.
Und im Großen und Ganzen funktioniert es ja auch. Zumindest in der Simulation sieht alles prima aus:


Aber tatsächlich hat der hier aufgeführte User keine Adminrechte auf dem Win7 PC - die Zuordnung funktioniert also nicht.

Kann da zufällig jemand helfen?

Fehler selbst gefunden!!! In der "Plugin Order" auch die richtige Reihenfolge beachten Erst LDAP abarbeiten lassen, dann die lokale Maschine!

 

[PackElend]

Hoi,
ich habe mir gerade eure Konversation durchgelesen, da bei mir eine entsprechende Umstellung auch als Option im Raum, da es einfach mehr und mehr Rechner werden.

Ich würde gerne aber noch eines oben drauf setzen und auch die Windowsprofile auf die DS verschieben, so dass auf allen Rechner die gleichen Profile zur Verfügung stehen (aber als sync Porzess nicht Kopie/Spiegelung, ansonsten wird der Datendurchsatz irgendwann einmal zu groß) .
Sicher gibt es die Möglickeit von Cloud, Netzwerklaufwerken, WebDAV etc aber sind die wiederum an DSM Profile gebunden, sprich mehr Administrationsaufwand.
Mir wäre es lieber, ich könnte alles über das LDAP Profil abzuwickeln. Ich habe bisher noch keine Möglichkeit gefunden diese 2 Welten miteinander zu verbinden. Das einzige, was mir dazu einfällt, ist mount etc aber ist dies nicht so elegant.
Ich habe dazu aber bisher nur Diskussionen mit Einbindung eines MS AD Server gefunden.

Ein andere Frage, du sagst:

Beim User ldapwinadmin ist beispielhaft eine andere Gruppenzuordnung gewählt:
Er soll sowohl auf den DS als auch unter Windows überall als Administrator fungieren.

Meinst du damit er kann sich dann als Admin beim DSM anmelden,denn bei mir hat dies nicht geklappt (bei mir läuft DSM 6.0 Beta1)

Letzte Frage, wie wäre es mit einer Anmeldung via VPN von aussen, somit lässt sich die Anzahl der Ports begrenzen. Der Nachteil ist natürlich, dass wenn Anmeldeinformation für das Netz (öffentliches WLAN etc) notwendig sind, erst das lokale Profil geladen wird.

Gruss

Stefan