Snowloepard Server in AD(Win2k8 R2) einbinden mit LDAP-Problemen.

[giovanni2k2]

Hallo zusammen,

erstmal eine kleine Einführung in mein "Problem" bzw. mein Vorhaben:

Wir in der IT-Abteilung unserer Firma haben dieses Jahr ein Rollout anstehen, welches schon gestartet ist.

Die Domain-Struktur basiert auf Windows Server 2008 R2.

Ich versuche bei mir die neuen Mac´s für meine Kollegen ins AD einzubinden und diese per Richtlinien zu verwalten. Ich habe mir dazu einige Whitepapers von Apple heruntergeladen und versuche das nun via "Magical Triangle" bzw. "Golden Triangle" zu realisieren. Dafür habe ich auch extra einen MacMini mit Snowleopard Server erworben.

Ich hatte das schon einige Fortschritte verbuchen können. Leider haben wir, aufgrund der Fehlerbeseitigung im AD einige Einstellungen vornehmen müssen. (Sichere Verbindung zu Server herstellen)

Ich habe nun das Problem, dass ich mich nicht mehr über das AD-Plugin in der Domain anmelden kann -> "Unbekannter Fehler" bzw. wird mir vorgehalten dass meine Credentials falsch sind. (stimmt aber nicht, da ich diese vorher erfolgreich getestet habe).
Nach Netzwerk-Sniffs habe ich herausgefunden, dass er einen Bind durchführt und dann wieder einen Unbind.

Das dies alles mit den neuen LDAP-Einstellungen zu tun hat ( http://support.microsoft.com/kb/935834/en-us/ ) liegt hier der Hund begraben.

Ich habe leider nicht so tiefe Erfahrungen mit LDAP. Ich konnte nur diverse Tests durchführen. Und habe dies mit folgendem Befehl und Ergebnis bekommen

Code:

ldapsearch -v -h xxx.xxx.local
ldap_initialize( ldap://xxx.xxx.local )
SASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Local error (-2)

Danach habe ich mal (nach Recherchen) folgenden befehl ausprobiert und das Zertifikat angezeigt bekommen aber zum Schluss ne Fehlermeldung erhalten.

Code:

openssl s_client -connect xxx.xxx.local:636 -showcerts -state
-
 
-
Verify return code: 21 (unable to verify the first certificate).

In der ldap.conf steht nur TLS_REQCERT demand.

Wie kann ich nun meinen Server so einstellen, dass er über eine sichere LDAP-Verbindung dem AD betritt?

Bitte habt Nachsicht mit mir, da ich eigentlich ein richtiger Neuling bei OS X bin und daher nicht soo tief in der Materie bin.

Ich liefere auch bei Bedarf gerne weitere Informationen, falls diese helfen.

[giovanni2k2]

Hallo,

habe folgendes vergessen hinzuzufügen:

Das System ist Snowleopard in Version 10.6.4 und mit allen aktuellen Updates versehen, falls dies noch hilft.

[giovanni2k2]

Hallo nochmal.

Also mittlerweile ists Version 10.6.5 aber das Problem besteht immer noch.

Also ich habe das Binding nun mit ADmitMAC gestestet hiermit geht es.
LDAP kann ich mittlerweile auch ausschließen, da ADmiMAC dies nicht angepasst hat.
Ich konnte zwar mit nem LDAP-Browser die nötigen Credentials und Flags auslesen die ich für die berits erwähnte LDAP-Abfrage brauche, da ich bei nem Netzwerksniff Fehler bezüglich LDAP fand (Diese waren aber auf das Autodiscover beim Eingeben des Servernamens im Suchformular des AD-Plugins zurückzuführen).

Mein nächster Kanditat war Kerberos, da ich dachte dass es hier liegt. Aber jegliche ANpassungen an der edi.mit.Kerberos waren auch vergebens. Ich konnte mir hiermit zzwar manuell Tickets vom Kerberos ziehen, aber der Bind ging immer noch nicht. Diese Datei wurde aber damals von ADmitMAC angepackt und modifiziert, ebenso wie die /etc/krb5.keytab.

Das Bearbeiten dieser Dateien mag das AD-Tool aber nicht da dieses über ACL´s mitbekommt, dass die Datei modifiziert wurde und sie einfach umbenennen will, um sich wieder die schrottige ausm AD zu ziehen.

Jetzt habe ich eigentlich nur noch mit dem dsconfigad tool alles angepasst, was ich über das ADmitMAC konfiguriert habe.

dsconfigad -show
You are not bound to Active Directory:
Advanced Options - User Experience
Create mobile account at login = Disabled
Require confirmation = Enabled
Force home to startup disk = Enabled
Use Windows UNC path for home = Enabled
Network protocol to be used = smb:
Default user Shell = /bin/bash
Advanced Options - Mappings
Mapping UID to attribute = not set
Mapping user GID to attribute = not set
Mapping group GID to attribute = not set
Advanced Options - Administrative
Preferred Domain controller = not set
Allowed admin groups = domain\domain admins,domain\enterprise admins
Authentication from any domain = Enabled
Packet signing = allow
Packet encryption = allow
Password change interval = 14
Namespace mode = domain

Also hier sind nochmal die Einstellungen die ich über ADmitMAC eingestellt habe:
kein WINS (wurde auch nie aktiviert)
Send NTLM response only (NTLM2 or Kerberos for authenticaton used)
Always sign


Also nochmal zusammenfassend: der Win 2k8R2 Server ist so eingestellt, dass er nur noch signierte Anfragen annimmt. (DNS,LDAP usw.)

Ich vermute den Fehler bei der Authenfifizierungsmethode. wobei die Authentifizierung ja in Punk 3 (so weit ich das jetzt aum Kopf weiß) stattfindet, aber Der Fehler taucht erst im Punkt 5 auf, wenn er den eigentlichen Bind durchführen will.

Hat jemand eine Ahnung wie ich die Daten die ich hier durchs ADmitMAC in den AUTH-Methoden umsetzen kann, bzw. wodrann es sonst liegen könnte?

Bei Bedarf kann ich auch nochmal die modifizierte edu.mit.Kerberos posten.
Ich wundere mich nur, dasd ich anscheinend der einzige bin, der in so einer Konstellation diesen Fehler hat.


cheers!

Giovanni