LDAP(s)-Authentifizierungsproblem

Fragen, Vorschläge, Anforderungen, Diskussion zu WebUntis Termin und Klassenbuch
Antworten
stephanschmieg
Beiträge: 10
Registriert: 14. Januar 2019, 17:56

LDAP(s)-Authentifizierungsproblem

Beitrag von stephanschmieg » 12. Juli 2019, 18:36

Hallo liebe Kolleginnen und Kollegen,

nachdem ich hier über 100 Benutzer anlegen müsste, die dann noch dazu wieder einen zusätzlichen Account (zum bestehenden AD-Eintrag) hätten, habe ich mich dazu entschlossen, die Authentifzierung über LDAP (bzw. die SSL-Variante LDAPS) zu machen. Allerdings schlägt dies fehl.

Beim Test zeigt mir das Life-Log in der Firewall, dass die Anfragen vom webuntis-Server ankommen und auch an den richtigen Server (Domänencontroller) durchgeleitet werden. Das verwendete Zertifikat ist ein offizielles Wildcard-Zertifikat (kommt von comodo), das wir auch für andere Applikationen (u. a. Exchange) verwenden.

Ich erhalte beim Test immer die untenstehende Fehlermeldung. Eigentlich lässt diese Meldung auf ein Problem mit dem Zertifikat schließen. Hier nochmal der Weg der Datenpakete: Die Anfrage kommt vom Webuntis-Server an unsere Subdomain dcbs01.bspfarrkirchen.de . Das Wildcard-Zertifikat lautet auf *.bspfarrkirchen.de . Von der Firewall geht es auf dcbs01.bs-pan.local. In die Gegenrichtung geht es genau umgekehrt.

Leider konnte auch die regionale Untis-Vertretung nicht weiterhelfen. Die hatten selber ein Problem mit dem Fall und haben ihn nach Austria weitergeleitet, von wo dann die Info kam, dass das Zertifikat nicht auf dcbs01.bs-pan.local ausgestellt sei und es daran liege. Ich kann mir das nicht vorstellen. Dann müssten wir ja die lokale Domäne zertifizieren lassen!

Was meint ihr dazu?

Grüße

Stephan
Dateianhänge
untisfehler_ldaps_einstellungen.PNG
untisfehler_ldaps_dns.PNG
untisfehler_ldaps_dns.PNG (5.86 KiB) 274 mal betrachtet

kroerig
Beiträge: 237
Registriert: 1. September 2008, 21:08
Kontaktdaten:

Re: LDAP(s)-Authentifizierungsproblem

Beitrag von kroerig » 5. August 2019, 17:31

Ja, der LDAP-Dienst muss ein Zertifikat haben, dass auf den externen Namen ausgestellt ist, wenn das sauber out-of-the-box laufen soll.
Die Fehlermeldung sagt, dass WebUntis bzw. Java dem Zertifikat keinen SAN-DNS-Eintrag mit dem Namen entnehmen kann, über den es den Server ansprechen soll.

Daher prüfen:
- Wo termininert die TSL/SSL Verbindung? Auf der Firewall oder am Server selbst?
- Ist das Zertifikat richtig eingebunden wird es auch verwendet?
IT-Service Klaus Rörig
IT Dienstleistungen im Bergischen Land

Antworten