Supportanfrage

Error writing to LDAP

von | 14.November 2013

Zuletzt aktualisiert am von ProSoft Redaktion

Beschreibung

Ausgangslage

Sie haben SecurAccess von SecurEnvoy installiert und gemäß “SecurEnvoy Security Server Installation Guide” die notwendigen Berechtigungen auf die verwendeten AD Felder gesetzt.
Jedoch erhalten Sie in SecurAccess beim Versuch, neue Werte ins AD zu schreiben, eine LDAP Zugriffsverletzung.

ERR, Error writing to LDAP, Zugriff verweigert

Ursache

Wodurch wird das beschriebene Problem bzw. die Ausgangslage verursacht oder ausgelöst?

Dies liegt in den meisten Fällen daran, dass die Erteilung der notwendigen Berechtigungen nicht korrekt umgesetzt wurde.

Die Erfahrung zeigt, das in den meisten Fällen Punkt 9 aus Kapitel 7.2 Active Directory Security im “SecurEnvoy Security Server Installation Guide” nicht berücksichtigt wurde.

Punkt 9:
Change the “Apply onto” field from “Contact objects” to “User objects”.
All the selected attributes will be carried over to “User objects”.

Lösung

Welche Massnahmen müssen ergriffen werden?

Welche Lösungsschritte stehen zur Verfügung?

Welche Alternativen bieten sich?

Die einfachste Lösung besteht darin, für den LDAP User Account einen administrativen Account zu wählen, welcher i.d.R. in jedem AD für die Verwendung von Dienstkonten vorhanden ist. Dieser Account verfügt über alle notwendigen Berechtigungen zum schreiben von Werten in das AD.

Wollen Sie jedoch ganz bewußt einen eigenständigen Benutzeraccount für diesen Einsatzzweck verwenden und diesem Account auch nur die benötigten Berechtigungen mitgeben, so überprüfen Sie bitte nochmals Schritt für Schritt die korrekte Umsetzung aus Kapitel 7.2 Active Directory Security im “SecurEnvoy Security Server Installation Guide
Da diese Änderungen jedoch nur “als Block” umsetzbar sind, müssen Sie zuvor bereits getätigte Änderungen wieder zurücknehmen.
Löschen Sie hierzu im ADSIEdit den zuvor hinzugefügten Namen des eingestellten LDAPAdminUser Account und beginnen Sie anschliessend erneut mit der Konfiguration.

Für administrative Account stellen Sie bitte sicher, dass die Vererbung manuell aktiviert wurde.
Beachten Sie hierzu den Artikel Vererbung – Was sie unbedingt verstehen müssen*
Alternativ informieren Sie sich über Google zum Thema AdminSDHolder und Vererbung*


Tools
Zur schnellen und einfachen Überprüfung der konfigurierten Berechtigungen können wir das kostenlose Tool AD ACL Scanner empfehlen.

Hinweise zur Anwendung:

Zur Ausführung dieses Tools muss auf dem betroffenen Rechner Windows Powershell installiert sein.

Nachdem Sie sich die aktuelle Version des Tools geladen haben, verfahren Sie bitte wie folgt:

    • selektieren Sie die Datei ADACLScan<version>.ps1 mit der rechten Maustaste
       
    • wählen Sie im Kontextmenü die Option “Mit Powershell ausführen” aus
      Sollten Sie die Frage “Ausführungsrichtlinie ändern” erhalten, so übernehmen Sie die vorgegebene Einstellung “[J] Ja” mit RETURN
       
    • in der linken Spalte des AD ACL Scanner klicken Sie auf “Connect“, um sich mit der aktuellen Domäne zu verbinden
       
    • selektieren Sie im Anschluss die OU, welche den konfigurierten LDAP User Account beinhaltet
       
    • in der rechten Spalte des AD ACL Scanner klicken Sie auf die Reiterkarte “Effective Rights
       
    • aktivieren Sie die Option “Enable Effective Rights
       
    • geben Sie den LDAP User Account ein
       
    • klicken Sie auf “Get Account
       
    • klicken Sie auf “Run Scan
       

Hinweis: Beim LDAP User Account handelt es sich um die eingestellte Admin UserID im Advanced Condigurator unter LDAP Settings.

Das Ergebnis sollte in etwa so aussehen:

OU Trustee Right Inherited Apply To Permission
OU=XYZ,DC=Domäne,DC=de Domänesecurenvoy Allow True user ExtendedRight Change Password
OU=XYZ,DC=Domäne,DC=de Domänesecurenvoy Allow True user ExtendedRight Reset Password
OU=XYZ,DC=Domäne,DC=de Domänesecurenvoy Allow True user Write primaryTelexNumber
OU=XYZ,DC=Domäne,DC=de Domänesecurenvoy Allow True user Write telexNumber
OU=XYZ,DC=Domäne,DC=de Domänesecurenvoy Allow True user Write mail
OU=XYZ,DC=Domäne,DC=de Domänesecurenvoy Allow True user Write mobile
OU=XYZ,DC=Domäne,DC=de Domänesecurenvoy Allow True user ReadProperty, GenericExecute

Hinweis

Beachten Sie bitte folgende, ergänzende Informationen.

Sollten Sie dies Fehlermeldung jedoch nur bei der Konfiguration eines administrativen Accounts erhalten und die Aktualisierung von Werten (z.B. Mobilfunknummer) eines normaler Benutzer Account ohne Fehlermeldung durchgeführt werden, so liegt dies in der per default nicht eigestellten Vererbung bei administrativen Accounts.

Downloads

Es stehen folgende Downloads zur Verfügung:

Auf folgende Downloads wurde im Text mit ** verwiesen

Fussnoten

Es stehen folgende weiterführende Links zur Verfügung:

Auf folgende Fussnoten wurde im Text mit * verwiesen

Seitenaufrufe

Bitte bewerten Sie diesen Beitrag!
[Gesamt: 0 | Durchschnitt: 0]