Bei der Konfiguration des Rublon Authentication Proxy zur Anbindung an ein Active Directory (AD) kann es vorkommen, dass in der Log-Datei die Fehlermeldung „User not found in AD“ erscheint. Diese Meldung weist darauf hin, dass der Auth Proxy den Anwender im Active Directory während der Authentifizierung nicht finden konnte. Dieser Artikel hilft Ihnen, die häufigsten Ursachen zu identifizieren und entsprechende Lösungen umzusetzen.
Bedeutung der Fehlermeldung
Die Meldung "User not found in AD" bedeutet in der Regel, dass der Authentication Proxy anhand der konfigurierten Werte search_dn, access_user_dn und username_attribute keinen passenden Anwender finden konnte. Die Ursache liegt meist in der Konfiguration, nicht in fehlenden Berechtigungen.
Häufige Ursachen und Lösungen
1. Zugriffskonto hat keine Leserechte im LDAP-Verzeichnis
Ursache: Das in access_user_dn angegebene Konto verfügt nicht über ausreichende Rechte, um das LDAP-Verzeichnis zu durchsuchen. Infolgedessen kann der Auth Proxy die Anwender nicht finden, die versuchen, sich anzumelden.
Lösung: Stellen Sie sicher, dass das angegebene Konto unter access_user_dn Leserechte für die erforderlichen Teile des LDAP-Verzeichnisses hat. Dieses Konto sollte in der Lage sein, Benutzereinträge innerhalb des angegebenen search_dn zu suchen und zu lesen.
2. Der search_dn ist zu eng gefasst
Ursache: Der Parameter search_dn ist auf einen Distinguished Name (DN) gesetzt, der die Anwender, die Sie authentifizieren möchten, nicht umfasst. Dadurch wird der Suchbereich eingeschränkt, und der Auth Proxy kann die Anwender-Einträge nicht finden.
Lösung: Passen Sie den Wert von search_dn so an, dass er einen übergeordneten DN umfasst, unter dem alle relevanten Anwender-Einträge liegen. Für erste Konfigurationen wird empfohlen, search_dn auf einen höheren DN zu setzen (zum Beispiel dc=example,dc=com) und ihn später bei Bedarf einzuschränken.
3. Ungültiges Benutzerattribut (username_attribute)
Ursache: Das Attribut, das zur Anmeldung verwendet wird, stimmt nicht mit dem Wert in username_attribute überein. Standardmäßig ist sAMAccountName konfiguriert, in Ihrer Umgebung kann aber auch cn oder userPrincipalName verwendet werden.
Lösung: Prüfen Sie, welches Attribut Ihre Anwender für die Anmeldung verwenden. Aktualisieren Sie den Parameter username_attribute in Ihrer Auth-Proxy-Konfiguration, damit er diesem Attribut entspricht.
4. Zu restriktive Filteroptionen
Ursache: Optionen wie security_group_dn oder custom_ldap_filter schränken den Suchbereich zusätzlich ein und schließen möglicherweise gültige Anwender aus.
Lösung: Für die Ersteinrichtung raten wir Ihnen, die Optionen security_group_dn und custom_ldap_filter wegzulassen oder auszukommentieren. Fügen Sie sie erst hinzu, nachdem Sie bestätigt haben, dass die Basisauthentifizierung funktioniert.
Beispiel Auth-Proxy-Konfiguration
Nachfolgend ist ein Beispiel für eine auth_source Konfiguration in einer config.yml-Datei für den Auth-Proxy:
- name: EXAMPLE_AD type: LDAP ip: 10.0.10.5 # Enter your AD's IP address here port: 636 transport_type: ssl search_dn: dc=example,dc=com # Start with a broad DN username_attribute: sAMAccountName # Ensure this matches your AD's username attribute access_user_dn: cn=access_user,dc=example,dc=com # Full DN of a user with read access access_user_password: password # Password for the access user
Konfigurationshinweise :
ip: IP-Adresse des Active Directory-Servers.
search_dn: Setzen Sie dies zunächst auf einen allgemeinen Distinguished Name (DN), der alle Ihre Benutzer umfasst.
username_attribute: Bestätigen Sie, dass dies dem Attribut entspricht, das Ihre Benutzer zur Anmeldung verwenden (z. B. sAMAccountName, cn, userPrincipalName).
access_user_dn: Geben Sie den vollständigen Distinguished Name (DN) eines Kontos mit Leseberechtigung für das LDAP-Verzeichnis an.
access_user_password: Das Passwort für das access_user_dn Konto.
Weitere Hinweise
Berechtigungen prüfen: Auch wenn das Problem oft mit der Konfiguration zusammenhängt, stellen Sie sicher, dass das access_user_dn Konto über die nötigen Berechtigungen verfügt, um Benutzereinträge zu suchen und zu lesen.
Verbindung testen: Verwenden Sie ein Tool wie LDAP Admin, um LDAP-Verbindung und Benutzerabfragen unter dem angegebenen search_dn zu testen.
Filter vorerst deaktivieren: Konfigurieren Sie security_group_dn oder custom_ldap_filter nur dann, wenn die Grundauthentifizierung fehlerfrei funktioniert.
Benutzerattribute verifizieren: Vergewissern Sie sich, dass das Konto unter dem angegebenen search_dn existiert und dass das Login-Attribut mit dem username_attribute in Ihrer Konfiguration übereinstimmt.
Fazit
Durch sorgfältige Überprüfung und Anpassung Ihrer Auth Proxy-Konfiguration können Sie den Fehler "User not found in AD" beheben. Beginnen Sie mit einem breiten Suchbereich und minimalen Filtern, um die grundlegende Funktionalität zu bestätigen, bevor Sie Ihre Einstellungen an Ihre spezifische Umgebung anpassen.
Sollten Sie weiterhin Probleme feststellen, können Sie eine bereinigte Version Ihrer Konfigurationsdatei (nachdem Sie sensible Informationen wie Passwörter entfernt haben) an den Rublon Support weiterleiten, um weitere Unterstützung zu erhalten.
Hilfreiche Links
Rublon Authentication Proxy – Dokumentation
Wie teste ich eine LDAP(S)-Verbindung mit dem Rublon Auth Proxy über LDAP Admin?
Was ist vor dem Versand der Konfigurations- und Log-Dateien zu beachten?
War dieser Artikel hilfreich?
Das ist großartig!
Vielen Dank für das Feedback
Leider konnten wir nicht helfen
Vielen Dank für das Feedback
Feedback gesendet
Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren