Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

Authentifizierung über AD LDS

Alles zum Thema vSphere 6.5, ESXi 6.5 und vCenter Server.

Moderatoren: irix, Dayworker

Benutzeravatar
Member
Beiträge: 7
Registriert: 09.11.2017, 18:15

Authentifizierung über AD LDS

Beitragvon emeriks » 17.07.2020, 11:49

Hi,
weiß jemand, wie man ein AD LDS einrichten muss, damit darüber die Authentifizierung mit AD-Konten funktioniert, z.B. von einer vSphere Appliance (VCSA)?

Kurz zum Setup und Problem
- AD mit Windows Server 2016, alle Funktionsebenen auf 2016
- ein Forest mit mehreren Domänen
- wir haben intern mehrere Systeme (z.B. solche o.g. VCSA), welche im internen Netz sind und im SSO das AD als Identitätsquelle eingerichtet haben --> keine Probleme damit

Jetzt soll ein externer Dienstleister eine VCSA für uns hosten und betreiben. Es ist gewollt, dass sich von unseren Anwendern dann ausgwählte über ihre AD-Konten dort anmelden können. Dafür muss eine Anbindung an unser AD eingerichtet werden. Aus Datenschutzgründen können wir aber keine direkte Anbindung an unser AD einrichten, weil sonst der externe Dienstleister die Informationen aller Anwender aus dem gesamten AD auslesen kann, auch solcher, welche mit dieser genannten VCSA gar nichts zu tun haben. Das technisch einzuschränken (Lese-Zugriff verweigern) wäre extrem aufwändig bzw. ohne komplette Umstrukturierung unserer AD-Strukturen überhaupt nicht machbar. Deshalb die Idee, dass über einen AD LDS zu erledigen.

Wir haben also ein AD mit mehreren Domänen hinter einer Firewall. Vor der Firewall steht ein Windows Server 2016 mit AD LDS (im weiteren "LDAP-Proxy" genannt). Der LDAP-Proxy ist Mitglied einer der internen Domänen. Diese Domänenmitgliedschaft ist voll funktionstüchtig, die entsprechenden Regeln in der FW dafür eingerichtet. Soweit kein Problem.

Der AD-Proxy synchronisiert ausgewählte AD-Konten aus den verschiedenen Domänen und legt dafür in seinem LDAP userProxy-Objekte an. Soweit auch gut, kein Problem.

Was nicht funktioniert, ist die Anbindung als Identitätsquelle z.B. in einer VCSA, welche sich ebenfalls vor der FW im selben Subnetz wie der LDAP-Proxy befindet.

Beim Versuch, die Identitätsquelle auf der VCSA einzurichten wird auf dem LDAP-Proxy im Sicherheits-Ereignislog protokolliert:
Überwachung gescheitert - Ereignis-ID 4776

Es wurde versucht, die Anmeldeinformationen für ein Konto zu überprüfen.

Authentifizierungspaket: ADAM_XyZ
Anmeldekonto: CN=XyZuser1,OU=Benutzer,DC=XyZ,DC=ADproxy,DC=local
Arbeitsstation: 192.168.245.35:34760
Fehlercode: 0xC000006D


Der Fehlercode variiert.
Verwenden wir zur Einrichtung der Identitätsquelle den NT Anmeldnamen wie "domain\samaccountname", dann kommt als Fehlercode
0xC0000064
Bedeutung: Benutzeranmeldung mit falsch geschriebenem oder fehlerhaftem Benutzerkonto
Das scheint logisch, weil im userProxy-Objekt zwar der sAMAccountName steht, aber nicht der NetBIOS-Name der Domäne.

Verwenden wir zur Einrichtung der Identitätsquelle dagegen den UPN wie "name@domain.tld", dann kommt als Fehlercode
0xC000006D
Bedeutung: Dies liegt entweder an einem fehlerhaften Benutzernamen oder an Authentifizierungsinformationen.
Der UPN steht im userProxy-Objekt und in der Ereignislog-Meldung steht dann auch der korrekt erkannte DistinguishedName.

(Quelle für Fehlercodes: https://docs.microsoft.com/de-de/window ... ction/audi ...)

Ich habe die Einrichtung der Identitätsquelle sowohl mit einem Konto versucht, welches auf den LDAP-Proxy synchronisiert wird, als auch mit einem AD-Konto, welches nicht synchronisiert wird, als auch mit einem lokalen Konto des LDAP-Proxy. (alle 3 sind jeweils Mitglied der Rolle "Readers" im AD LDS)

Was ich ausschließen kann:
- falscher Benutzername -- mehrere versucht
- falsches Passwort -- mehrere versucht
- fehlende offene TCP/UDP-Ports -- Die lokale Firewall des LDAP-Proxy habe ich zum Test deaktiviert und zwiwschen VCSA und LDAP-Proxy ist keine weitere FW.


Irgendwas mache ich also falsch. Hat jemand ne Idee?

E.

King of the Hill
Beiträge: 13622
Registriert: 01.10.2008, 12:54
Wohnort: laut USV-Log am Ende der Welt...

Re: Authentifizierung über AD LDS

Beitragvon Dayworker » 20.07.2020, 07:51

Weder Versions of Active Directory supported in vCenter Server (2071592) noch Versions of Active Directory supported in VMware ESXi (2113023) enthalten Hinweise zu "AD LDS".




Da ein Bild bekanntlich mehr als 1000 Worte sagt, so soll das nachher aussehen:
AD_LDS.jpg

Benutzeravatar
Member
Beiträge: 7
Registriert: 09.11.2017, 18:15

Re: Authentifizierung über AD LDS

Beitragvon emeriks » 20.07.2020, 11:31

Ich habe einen Ansatz erhalten über das MSDN-Forum:
https://social.technet.microsoft.com/Fo ... inserverDS

Jetzt kann ich die Identitätsquelle anlegen, aber anschließend nicht die Konten auflisten, um diese im VCSA berechtigen zu können.
Ich vermute, dass das daran liegt, dass VCSA nach "objectClass=user" sucht. Bei AD LDS müsste es aber nach "objectClass=userProxy" suchen.

Hat jemand ne Idee, was man da machen könnte?

King of the Hill
Beiträge: 13622
Registriert: 01.10.2008, 12:54
Wohnort: laut USV-Log am Ende der Welt...

Re: Authentifizierung über AD LDS

Beitragvon Dayworker » 20.07.2020, 13:37

Ich würde im VMTN mal einen Thread aufmachen und den auch hier verlinken. Damit hättest du dann alle Beteiligten um Hilfe gebeten.


Zurück zu „vSphere 6.5“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast