Error writing to LDAP
Sie haben SecurAccess von SecurEnvoy installiert und gemäß “SecurEnvoy Security Server Installation Guide” die notwendigen Berechtigungen auf die verwendeten AD Felder gesetzt. Jedoch erhalten Sie in SecurAccess beim Versuch, neue Werte ins AD zu schreiben, eine LDAP Zugriffsverletzung. ERR, Error writing to LDAP, Zugriff verweigert
Beschreibung
Sie haben SecurAccess von SecurEnvoy installiert und gemäß "SecurEnvoy Security Server Installation Guide" die notwendigen Berechtigungen auf die verwendeten AD Felder gesetzt.
Jedoch erhalten Sie in SecurAccess beim Versuch, neue Werte ins AD zu schreiben, eine LDAP Zugriffsverletzung.
ERR, Error writing to LDAP, Zugriff verweigert
Ursache
Dies liegt in den meisten Fällen daran, dass die Erteilung der notwendigen Berechtigungen nicht korrekt umgesetzt wurde.
Die Erfahrung zeigt, das in den meisten Fällen Punkt 9 aus Kapitel 7.2 Active Directory Security im "SecurEnvoy Security Server Installation Guide" nicht berücksichtigt wurde.
Punkt 9
Change the "Apply onto" field from "Contact objects" to "User objects".
All the selected attributes will be carried over to "User objects".
Lösung
Die einfachste Lösung besteht darin, für den LDAP User Account einen administrativen Account zu wählen, welcher i.d.R. in jedem AD für die Verwendung von Dienstkonten vorhanden ist. Dieser Account verfügt über alle notwendigen Berechtigungen zum schreiben von Werten in das AD.
Wollen Sie jedoch ganz bewußt einen eigenständigen Benutzeraccount für diesen Einsatzzweck verwenden und diesem Account auch nur die benötigten Berechtigungen mitgeben, so überprüfen Sie bitte nochmals Schritt für Schritt die korrekte Umsetzung aus Kapitel 7.2 Active Directory Security im "SecurEnvoy Security Server Installation Guide"
Da diese Änderungen jedoch nur "als Block" umsetzbar sind, müssen Sie zuvor bereits getätigte Änderungen wieder zurücknehmen.
Löschen Sie hierzu im ADSIEdit den zuvor hinzugefügten Namen des eingestellten LDAPAdminUser Account und beginnen Sie anschliessend erneut mit der Konfiguration.
Für administrative Account stellen Sie bitte sicher, dass die Vererbung manuell aktiviert wurde.
Beachten Sie hierzu den Artikel Vererbung - Was sie unbedingt verstehen müssen
Alternativ informieren Sie sich über Google zum Thema AdminSDHolder und Vererbung
Tools
Zur schnellen und einfachen Überprüfung der konfigurierten Berechtigungen können wir das kostenlose Tool AD ACL Scanner empfehlen. Hinweise zur Anwendung
Zur Ausführung dieses Tools muss auf dem betroffenen Rechner Windows Powershell installiert sein.
Nachdem Sie sich die aktuelle Version des Tools geladen haben, verfahren Sie bitte wie folgt
- selektieren Sie die Datei ADACLScan<version>.ps1 mit der rechten Maustaste
- wählen Sie im Kontextmenü die Option "Mit Powershell ausführen" aus
Sollten Sie die Frage "Ausführungsrichtlinie ändern" erhalten, so übernehmen Sie die vorgegebene Einstellung "[J] Ja" mit RETURN - in der linken Spalte des AD ACL Scanner klicken Sie auf "Connect", um sich mit der aktuellen Domäne zu verbinden
- selektieren Sie im Anschluss die OU, welche den konfigurierten LDAP User Account beinhaltet
- in der rechten Spalte des AD ACL Scanner klicken Sie auf die Reiterkarte "Effective Rights"
- aktivieren Sie die Option "Enable Effective Rights"
- geben Sie den LDAP User Account ein
- klicken Sie auf "Get Account"
- klicken Sie auf "Run Scan"
Hinweis
Beim LDAP User Account handelt es sich um die eingestellte Admin UserID im Advanced Condigurator unter LDAP Settings.
Das Ergebnis sollte in etwa so aussehen
| OU | Trustee | Right | Inherited | Apply To | Permission |
|---|---|---|---|---|---|
| OU=XYZ,DC=Domäne,DC=de | Domänesecurenvoy | Allow | True | user | ExtendedRight Change Password |
| OU=XYZ,DC=Domäne,DC=de | Domänesecurenvoy | Allow | True | user | ExtendedRight Reset Password |
| OU=XYZ,DC=Domäne,DC=de | Domänesecurenvoy | Allow | True | user | Write primaryTelexNumber |
| OU=XYZ,DC=Domäne,DC=de | Domänesecurenvoy | Allow | True | user | Write telexNumber |
| OU=XYZ,DC=Domäne,DC=de | Domänesecurenvoy | Allow | True | user | Write mail |
| OU=XYZ,DC=Domäne,DC=de | Domänesecurenvoy | Allow | True | user | Write mobile |
| OU=XYZ,DC=Domäne,DC=de | Domänesecurenvoy | Allow | True | user | ReadProperty, GenericExec |
Hinweis
Sollten Sie dies Fehlermeldung jedoch nur bei der Konfiguration eines administrativen Accounts erhalten und die Aktualisierung von Werten (z.B. Mobilfunknummer) eines normaler Benutzer Account ohne Fehlermeldung durchgeführt werden, so liegt dies in der per default nicht eigestellten Vererbung bei administrativen Accounts.
Downloads
Fussnoten
Vererbung - Was sie unbedingt verstehen müssen
Google Suche 'AdminSDHolder Vererbung'