Proxmox LDAP / AD mit Azure

Apr 11, 2020
13
0
6
Guten Morgen,

ich versuche jetzt seit einigen Stunden unser Proxmox VE Cluster mit unserem LDAP Dienst von Azure zu verbinden. Folgendes Problem ist dabei entstanden, ich trage die Daten korrekt ein, Server & Port sind korrekt sowie SSL aktiviert.

Screenshot_1665.png

Unter Sync options habe ich einen Bind User definiert "cn=no-reply,dc=example,dc=de" ebenfalls habe ich ein bind Password gesetzt, beide Daten sind auch korrekt gespeichert in der cf und in der pw Datei.

Screenshot_1666.png

Jedoch bekomme ich bei meinem Sync Preview folgenden Fehler "TASK ERROR: 80090308: LdapErr: DSID-0C09044E, comment: AcceptSecurityContext error, data 52e, v2580 at /usr/share/perl5/PVE/LDAP.pm line 55.". Dieser Fehler besagt, das die Anmeldedaten falsch sind, wenn ich die selben Daten nun aber in das Windows Remote LDAP Tool packe, kann ich Problemlos ein Bind aufbauen. Meine Vermutung, Proxmox überträgt ggf. das Password / Username falsch? Habe sowohl LDAP als auch AD als Realms ausprobiert, beides schlägt fehl. Ebenfalls habe ich auch verschiedene User ausprobiert, immer der gleiche Fehler.


Screenshot_1668.png

vielen Dank für Ideen und eure Hilfe!
 
Hi,

kannst du es mal mit ldapsearch versuchen? (dazu muss potentiel das 'ldap-utils' paket installiert werden)

Code:
ldapsearch -D <BINDDN> -h <LDAPSERVER> -p <PORT>  -W
 
  • Like
Reactions: Stoiko Ivanov
Hi,

vielen Dank! Das hat auf jeden fall dem Problem auf die Sprünge geholfen!

Screenshot_1676.png

Soweit sehe ich jetzt das man cn=no-reply,dc=example nicht weit kommt aber dafür mit no-reply@example, mhm.
 
Nein leider nicht, da ist das Feld auch leer im GUI. Als Meldung wenn ich Sync drücke kommt:

"TASK ERROR: 000004DC: LdapErr: DSID-0C0907E9, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, v2580 at /usr/share/perl5/PVE/LDAP.pm line 137."
In der Konfig habe ich es mit Nano eingetragen

Screenshot_1680.png

Ich vermute das es eine Validation prüfung gibt, die das Format nicht akzeptiert. In der GUI gibt es ja auch eine regex prüfung.
 
Last edited:
@dcsapak vielen Dank für deinen Hinweis, dieser hat mich unheimlich voran gebracht. Ich konnte das Problem soweit eingrenzen. Es liegt tatsächlich an der Regex regel von pve. Er prüft bzw. erwartet das format "cn=no-reply,dc=example" aber manche ldaps wollen "no-reply@example"

Habe jetzt den Code verändert und es klappt soweit. Um es natürlich dauerhaft zu machen müsste man nun die Regex Regeln anpassen die erwartet werden.


Pfad: /usr/share/perl5/PVE/LDAP.pm
Screenshot_1683.png

So funktioniert es dann aber auch nur CLI und nicht per GUI, da steige ich noch nicht durch, wie es sich da wieder unterscheiden kann.
 
Last edited:
Hi,

vielen Dank! Das hat auf jeden fall dem Problem auf die Sprünge geholfen!

View attachment 37385

Soweit sehe ich jetzt das man cn=no-reply,dc=example nicht weit kommt aber dafür mit no-reply@example, mhm.

Hi @MrKampf,

dasselbe Problem mit dem "-D" Parameter in der DN-Form hatte ich auch. Bei mir lag es daran, dass ich nicht den kompletten DN angegeben hatte, was als falscher Benutzername interpretiert wurde.

Wie bei dir funktionierte ldapsearch in der UPN-Form (also mit dem @), über die ich nach meinem User suchen konnte, um die vollständige DN-Form darstellen zu lassen. In meinem Fall fehlten ein paar "ou"s.

Also z.B.:
Code:
cn=no-reply,ou=my-ou,dc=example,dc=de

Die vollständige DN-Form, die dann positiv über ldapsearch getestet wurde, kann man dann auch erfolgreich im PVE-WUI als "bind user" verwenden (insofern der User über die notwendigen Berechtigungen verfügt).

Viele Grüße
 
  • Like
Reactions: Stoiko Ivanov

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!