expertenaustausch > comp.sys.* > comp.sys.novell

Bernhard Huber (24.04.2016, 14:28)
Hallo Liste,

folgendes Problem: Ein WLAN-Controller mit der Radius-Software ClearPass
(aruba) soll sich gegen unseren Novell-Verzeichnisdienst
authentifizieren. Gut, wir haben eine LDAP-Schnittstelle damit sollte es
gehen.

Ich habe für unseren ext. Dienstleister einen Bind-User LDAPuserWLAN mit
Passowrt angelegt mithilfe dessen er den Baum abfragen kann. Das geht
auch. Er bekommt einen Bind und kann die Felder lesen,

Doch wie und wo speichert Novell das Passwort (als hash)? Normalerweise
heißt das Attribut userPassword, nicht aber bei Novell. Oder geht das
bei Novell ganz anders? Braucht es ein Mapping? Bin leider kein
LDAP-Experte (und mein Dienstleister kennt nur ADs ).

Hier sind noch zwei Screenshots von den Konfigseiten. Vielleicht hat
jemand ja eine Idee oder es bereits umgesetzt:




Viele Grüße

Bernhard Huber
Bernd (26.04.2016, 17:28)
Bernhard Huber wrote on Sonntag, 24. April 2016 14:28 in de.comp.sys.novell
:

(...)
> folgendes Problem: Ein WLAN-Controller mit der Radius-Software ClearPass
> (aruba) soll sich gegen unseren Novell-Verzeichnisdienst
> authentifizieren. Gut, wir haben eine LDAP-Schnittstelle damit sollte es
> gehen. ?? Radius != LDAP


> Ich habe für unseren ext. Dienstleister einen Bind-User LDAPuserWLAN mit
> Passowrt angelegt mithilfe dessen er den Baum abfragen kann. Das geht
> auch. Er bekommt einen Bind und kann die Felder lesen, Schön.


> Doch wie und wo speichert Novell das Passwort (als hash)?

Das eDir-Pwd wirst Du nicht lesen können. Es wird verschlüsselt gespeichert
und ist nicht decodierbar.

> Normalerweise
> heißt das Attribut userPassword, nicht aber bei Novell. Oder geht das
> bei Novell ganz anders?

Entweder Du richtest FreeRADIUS mit einer Verbindung zum eDir ein und lässt
den WLAN-Controller tatsächlich Radius machen (Fre RADIUS ist beim SLES
dabei. Gibt es Doku zu -ist nicht allzu kompliziert), oder Du nutzt
Universal-Password. Dabei wird das Paßwort in verschiedenen, auch
auslesbaren, Formaten gespeichert.
Du musst dann Pwd-Policies anlegen und zuweisen und u. a. auch Deinem
LDAPuserWLAN das Recht geben das Pwd im Klartext auszulesen. Aber auf JEDEN
FALL musst Du auf eine einwandfreie ldaps (Port 636) Verbindung achten sonst
kann jeder Vorschüler die Pwds vom Netz greifen.

> Braucht es ein Mapping? Bin leider kein
> LDAP-Experte (und mein Dienstleister kennt nur ADs ).

Kaum ist es nicht MainStream schon kann er's nicht =8-O
Anderer, besserer, Dienstleister? ;-)

Bernd
Ähnliche Themen