[gelöst] Active Directory - Authentifizierung, keine Gruppenzuordnung
-
Moin,
ich versuche gerade eine pfsense mit einem Windows Server 2008 RC2 AD zu verheiraten.
Ich bin soweit, das ich unter –> Diagnostics --> Authentification meine Konto erfolgreich authentifizieren kann.Was nicht funktioniert, ist die Zuordnung zu einer Gruppe.
Mit den Einstellungen habe ich schon einiges probiert, abweichend von den Standardeinstellungen.
Momentan bin ich wieder auf Standard zurück:User naming attribute: samAccountName Group naming attribute: cn Group member attribute: memberOf
Als Authentication containers habe ich die OUs gewählt, in dennen das Benutzrkonto und die Gruppe erstellt wurden. Testweise habe ich auch eine Gruppe in der selben OU wie die des Benutzers angelegt.
In der Gruppenverwaltung der pfsense habe ich die Gruppen entsprechend angelegt.Ein```
ldapsearch -h bund-org -p 389 -W -D "cn=bvg-fw002-ldapabfrage,ou=6-Servicekonten,dc=bvg,dc=local" -b "dc=bvg,dc=local" "(&(sAMAccountName=BVGFWADMINS))" memberZeigt mir für die Gruppe BVGFWADMINS auch die zugehörigen Konten an. Mit einem``` Group member attribute: member ```habe ich es auch schon versucht, da es ja in der Ausgabe vom ldapsearch, bzw. der Attributsansicht in der AD Maske ken memberOf Attribut gibt. Da ich meines Erachtens alle möglichkeiten inklusive Suche im Forum und Internet ausgeschöpft habe, bitte ich hier um Hilfe,… Grüße Gregor
-
Moin,
ein Stück bin ich weiter.
Die Sache mit dem memberOf scheint ein Rechteproblem in unserem AD zu sein.
Wenn ich versuch ein Administratorkonto zusätzlich in die Gruppe aufzunehmen, bekomme ich kein memberOf, auch nicht im ldapsearch
Nehme ich ein normales Benutzerkonto, taucht die zugeordnete Gruppe unter Diagnostic korrekt auf.Allerdings darf dieser Benutzer sich trotzdem nicht an der pfsense anmelden, obwohl der Gruppe alle Rechte zugeordnet wurde?
Für hilfreiche Ratschläge bin ich dankbar.
Grüße
Gregor
-
Nachdem ich die ausgewählten OUs noch einmal kontrolliert habe, kann ich mich mit den zugeordneten Konten anmelden.
-
Also prüfst du jetzt korrekt auf Gruppenmitgliedschaft der XY Gruppe und dann darf sich ein Mitglied anmelden?
-
Ich bin mir nicht sicher, ob ich Deine Frage richtig verstanden habe.
Im AD habe ich eine Gruppe mit dem cn synonym zur Gruppe auf der pfsense angelegt.
Durch Mitgliedschaft in dieser Gruppe darf sich der AD Benutzer auf der pfsense anmelden.Dieser Gruppe habe ich wegen der flachen Hirachie bei uns sämtliche Rechte gegeben.
Mein Fehler lag IMHO nur bei der korrekten Auswahl der Authentication containers.
Grüße
Gregor