Probleme mit der LDAP Synchronisierung im RSA ACE Server

#0
14.04.2006, 02:39
...neu hier

Beiträge: 1
#1 Hallo,

ich habe ein kleines Problem mit dem Ace Server.

Kurz zum Aufbau.....

Ein Domaincontroller
Ein eigener Server mit dem RSA ACE Server drauf
Ein Citrix Access Gateway

Ich habe nun also im ACE Server einen Benutzer angelegt, so ein sdconf Agent Host File erstellt und, wie in der Anleitung beschrieben, in das Citrix Access Gateway hochgeladen unt dann dort die Authentifizierung konfikuriert. (Erstmal nur Oneway, ale Benutzername und Token)

Danach kurzerhand den Explorer auf und mich mit Name und Token angemeldet.
Ich konnte es kurz selber garnicht glauben, aber es funktionierte alles super.

Nun will ich das ja aber mit meinem Active Directory machen. Quasi two-way.
Im Citrix Gateway also umgestellt auf LDAP und da mal alles eingegeben. Im AD eine OU "TokenUser" erstellt, und dort einen Benutzer angelegt.

Mit dem Citrix Gateway getestet..... funktioniert auch.

JETZT habe ich dann diese LDAP Synchroniesation im ACE Server konfiguriert mit IP und alles was dazugehört.

Ich kann den Authentifizierungsversuch auch erfolgreich abschliessen.

Im Übersichtsfenster der einzelnen Tasks steht er auch auf "OK", nur steht dadrunter "No users processed".

Ich habe aber den String genau übernommen aus der LDAP Konfiguration aus dem Accessgateway wo sie wunderbar funktioniert.

LDAP query filter: objectclass=*
Base DN: OU=TokenUsers,DC=rsatest,DC=lan
Binding DN; CN=Administrator,CN=Users,DC=rsatest,DC=lan mit Passwort dazu

Hat da mal jemand eine Idee?

Auch wenn ich auf "All Sublevels" stelle und bei Base DN nur das AD root angebe also DC=rsatest,DC=lan findet er garnix, weder Users noch sonstirgendwas.

Wäre über jede Hilfe dankbar.

Liebe Grüsse

Jan
Seitenanfang Seitenende
18.04.2006, 09:28
Member
Avatar nuubian

Beiträge: 16
#2 Hallo,

scheint mir danach auszusehen, dass er dem Token keinen User zuordnen kann. Kann es sein, dass du dass vergessen hast? Wenn du eine LDAP Synchronisation mit deinem AD vorgenommen hast, so brauchst du keine USER anlegen. Du holst sie dir ja aus dem AD.

* Hast du bei deiner Testauthentifizierung den RSA LogMonitor offen, um die Fehlermeldungen Schrittweise zu sehen?

*Hast du das Token einem User zugeordnet?

*Was willst du erreichen Domänen Login oder VPN?

*Achte darauf, dass die Synchronisationsintervalle nicht zu fein eingestellt sind. Alle 12 Stunden sind ok. (Habs zum testen der Synchroinisation mal vergessen, da hat er jede Minute synchronisiert)
Seitenanfang Seitenende
28.04.2006, 09:26
...neu hier

Beiträge: 9
#3 Klappt denn die Testanmeldung an AD bei Angabe des Binding DN und des Passworts?
In meinem Blogcast habe ich ja auch mal einen User aus einer OU importiert, hatte eigentlich keine Probleme damit:

http://hemker.blog.de/2006/04/27/blogcast_domanenanmeldung_mit_securid~759681
__________
Blogcasts zum Thema Windows Server Netzwerke: http://hemker.blog.de
Seitenanfang Seitenende
24.05.2006, 11:48
...neu hier

Beiträge: 3
#4 Hi,

stehe vor dem gleichen Problem wie Division.

Ein Mitschnitt des Netzwerktraffics zeigt, dass der ACE Server die LDAP Anfrage an den AD Server schickt und dieser die Anfrage richtig mit einer Liste der Benutzer beantwortet.

Gemaess Packetyzer/Ethereal ist der Ablauf wie folgt:

1. Anmeldung ("LDAP Bind Request")
2. Erfolgsmeldung ("LDAP Bind Result" mit "Result Code: 0x00 success")
3. Suchanfrage ("LDAP Search Request" mit "Base DN: CN=Users,DC=meinedomain,DC=de" und "objectClass=User")
4. Antworten (Multiple "LDAP Search Entry" mit Inhalten in der Form
Distinguished Name:
CN=Administrator,CN=Users,DC=meinedomain,DC=de,
CN=UserA,CN=Users,DC=meinedomain,DC=de,
CN=UserB,CN=Users,DC=meinedomain,DC=de
und u.a. dem Attribut "samAccount" der jeweiligen Benutzer
5. Abmeldung ("LDAP Unbind Request")

Obwohl alle Daten zurueckkommen die man fuer das Anlegen eines Benutzers im ACE brauchen wuerde, quittiert der Server im Log den Sync Vorgang mit
'Job executor server message: Job "ldapsync1" (job number 101) completed. Summary: "No users processed".'

Ein Auflisten der Benutzer auf dem ACE zeigt, dass tatsaechlich keine Benutzer importiert wurden.

Bin irgendwie mit meinem Latein am Ende.

Hat jemand eine Idee?

Gruss,

kwaH
Seitenanfang Seitenende
29.05.2006, 14:15
...neu hier

Beiträge: 3
#5 Hi,

der Fehler ist gefunden.

Damit der ACE Server Benutzerdaten die von dem AD erhaelt auch akzeptiert/importiert sind einige Bedingungen zu erfuellen:

- samAccountName muss gesetzt sein
- Surname (SN) muss vorhanden sein

Nach Eintragen des SN (samAccountName war natuerlich schon vorhanden) klappte es auch mit der Synchronisierung.

Gruss,

kwaH
Seitenanfang Seitenende
10.07.2006, 13:35
...neu hier

Beiträge: 1
#6 Hi,

wo werden diese Settings (samAccountName u. Surname (SN))durchgeführt. Bitte um nähere Anweisung. Danke im Voraus.


Gruß

Ela
Seitenanfang Seitenende
10.07.2006, 13:45
...neu hier

Beiträge: 3
#7 Hi,

samAccountName ist der Login Name und wird beim Anlegen eines Benutzers im Windows System vergeben.

Der "Surname" ("SN") ist in Windows ein optionales Feld bei den Benutzerdetails. Dieses Feld solltest Du beim Anlegen des Benutzers fuellen.

Eintragen kann man die Daten ueber die LDAP/Active Directory spezifische Benutzerverwaltung.
Gruss,

kwaH
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: