ActiveDirectory Anbindung

  • Hallo zusammen,


    wenn ich das richtig verstanden habe, generiert die Starface aus der angegebenen Email-Adresse den sAmAccountname, nach welchem sie dann im AD sucht.


    Was aber, wenn der sAmAccountname ein anderer ist ?


    Dann passiert in etwa das hier:


    Beispiel: Benutzer.Name@domain.tld


    Code
    [2018-04-01 21:37:18,636] DEBUG de.starface.core.component.activedirectory.config.ADValidator Active Directory user: sAMAccountName: [B]Benutzer.Name[/B]
    Username: Benutzer.Name@domain.local
    Password: ??? 
    E-Mail: [B]null[/B]
    Matched local accountID: [B]null [/B]


    Selbigen Fall habe ich gerade bei einem Kunden, bei welchem ich den Anlagenverbund komplett auf AD-Auth umstellen will ...


    Hat von euch jemand eine Idee ?


    Danke und frohe Ostern,


    Cheers - Chris

    Cheers - Chris


    STARFACE certified Partner
    Sophos certified Engineer
    schon mal was von MS-AD gehört ;)
    CISCO / HPE / ARUBA Networking

  • Hallo Chris,


    die Starface verknüpft die lokalen Accounts durch Abgleich der Mailadresse mit dem AD-User.


    Ablauf:

    • User gibt seinen AD-Username mitsamt Kennwort im Starface-Loginfenster ein
    • Starface sucht im AD nach dem eingegebenen Usernamen und lässt sich die Mail-Adresse zurückgeben, wenn dieser gefunden wurde
    • Wird die erhaltene Mail-Adresse auch bei einem Starface-Benutzer gefunden und ist das eingegebene Kennwort vom AD-User korrekt, wird der passende Starface-Benutzer angemeldet.

    Viele Grüße,


    Andreas Stein
    IT Fabrik Systemhaus GmbH & Co. KG


    STARFACE Excellence PLUS Partner

  • Hi, vielen Dank für die Antwort.


    Ich hatte vergessen zu erwähnen, dass die Mailadresse gleichzeitig der UPN vom User ist.
    In dieser Installation kann ich aufgrund von verschiedenen Umständen nicht über den DOMAIN\User.Name gehen.


    Beispiel:


    Benutzer: Max Mustermann
    Email: Max.Mustermann@firma-1.de
    UPN: Max.Mustermann@firma-1.de
    sAMAccountName: max.mustermann-firma1
    Domain-User DOMAIN\max.mustermann-firma1


    In der Starface:


    Vorname: Max
    Name: Mustermann
    Email: max.mustermann@firma-1.de
    Login-ID:235
    Passwort: blablabla


    Mit dem Effekt, dass die Starface den falschen sAMAccount annimmt und abzugleichen versucht.


    Ablauf:

    • User gibt seinen AD-Username mitsamt Kennwort im Starface-Loginfenster ein
    • Starface sucht im AD nach dem eingegebenen Usernamen und lässt sich die Mail-Adresse zurückgeben, wenn dieser gefunden wurde
    • Wird die erhaltene Mail-Adresse auch bei einem Starface-Benutzer gefunden und ist das eingegebene Kennwort vom AD-User korrekt, wird der passende Starface-Benutzer angemeldet.


    was mich vor allem wundert ist, dass der sAMAccountName falsch ist ...


    Denn, wenn die Starface den sAMAccountName tatsächlich aus dem AD abfragen würde, dann wäre der wohl kaum anders in der Log, als dieser im ADSI-Editor ist - oder ?



    Vielen Dank für die konstruktive Info,


    Cheers - Chris

    Cheers - Chris


    STARFACE certified Partner
    Sophos certified Engineer
    schon mal was von MS-AD gehört ;)
    CISCO / HPE / ARUBA Networking

    Einmal editiert, zuletzt von cbka ()


  • was mich vor allem wundert ist, dass der sAMAccountName falsch ist ...


    Denn, wenn die Starface den sAMAccountName tatsächlich aus dem AD abfragen würde, dann wäre der wohl kaum anders in der Log, als dieser im ADSI-Editor ist - oder ?


    Woher soll sie ihn denn sonst abfragen?
    Natürlich kommt der aus dem AD... der sAMAccountName läßt sich nicht einfach aus einer Emailadresse generieren. Es ist ein Attribut des AD-Users (siehe Attribut-Editor in den Eigenschaften des Users in "Active Directory-Benutzer und -Computer").


    Die STARFACE fragt in regelmäßigen Intervallen (und erstmalig bei Aktivieren der AD-Authentifizierung) das AD nach allen Personenobjekten innerhalb der angegebenen Base DN ab.
    In diesem Listing sucht die Anlage nach Emailadressen von STARFACE-Benutzern (das ist der Emailadressvergleich; und deshalb müssen bei AD-Authentifizierung alle Emailadressen eindeutig sein).
    Wenn die Emailadresse eines STARFACE-Benutzers der eines AD-Benutzers entspricht, wird dessen sAMAccountName ausgelesen und in der STARFACE für diesen User gespeichert.
    Dieser sAMAccountName ist dann der Anmeldename für die AD-Authentifizierung.


    Der UPN spielt in diesem ganzen Prozedere (leider) keine Rolle. Es kommt nur auf Übereinstimmung der Emailadressen an.
    Und den sAMAccountName hat entweder der Domänencontroller beim Anlegen des Users generiert oder ein Domänenadmin -- aber nie die STARFACE.

  • Hallo Fabian,


    vielen Dank für die kleine Nachhilfestunde in Windows-Domänen. *schmunzel*


    Interessant zu wissen wäre, ob es bei den Email Adressen auf groß / kleinschreibung ankommt.


    Wäre das der fall, würde ich das ebenfalls BUG nennen, weil sorry - aber das ist dann einfach nur zu einfach programmiert. Und einen LIKE Vergleich einem == Vergleich vorzuziehen, wäre dann schon sehr ... aber naja. ist ja bekanntlöich alles eine "Stilfrage o_0"


    wie ich schon geschrieben hatte (und du ebenfalls zitiert hast), ist der von der Starface ermittelte sAMAccountname nicht gleich dem, welcher im ADSI-Editor steht. (Das ist der von dir erwähnte Attributs-Editor)


    Ich mache ein Ticket auf, und kläre den >>BUG<< mit Starface.


    Danach werde ich natürlich gerne berichten.


    Cheers - Chris

    Cheers - Chris


    STARFACE certified Partner
    Sophos certified Engineer
    schon mal was von MS-AD gehört ;)
    CISCO / HPE / ARUBA Networking

    2 Mal editiert, zuletzt von cbka () aus folgendem Grund: grußworte vergessen ;-)

  • Guten Morgen Chris,



    Interessant zu wissen wäre, ob es bei den Email Adressen auf groß / kleinschreibung ankommt.


    Das war in der Vergangenheit auf jeden Fall so. Ob das immer noch so ist, wenn man mit einer aktuellen Version startet, müßte ich ausprobieren.



    Wäre das der fall, würde ich das ebenfalls BUG nennen, weil sorry - aber das ist dann einfach nur zu einfach programmiert. Und einen LIKE Vergleich einem == Vergleich vorzuziehen, wäre dann schon sehr ... aber naja. ist ja bekanntlöich alles eine "Stilfrage o_0"


    wie ich schon geschrieben hatte (und du ebenfalls zitiert hast), ist der von der Starface ermittelte sAMAccountname nicht gleich dem, welcher im ADSI-Editor steht. (Das ist der von dir erwähnte Attributs-Editor)


    Ich mache ein Ticket auf, und kläre den >>BUG<< mit Starface.


    Ich glaube, das gibt es schon seit es die AD-Authentifizierung in der STARFACE gibt (Ticket bzgl. Case Sensitivity). Da habe ich mich gleich zu Beginn schon geärgert, es dann aber akzeptiert und beim Anlegen der Benutzer darauf geachtet.
    Es ist auch keine allzu große PowerShell-Magic nötig, um die Emailadressen im AD auf Kleinschreibung zu ändern ;)


    Persönlich wäre es mir auch lieber gewesen, der UPN wäre als Login-ID verwendet worden, anstatt dem sAMAccountName. Aber das habe ich an anderer Stelle hier schon detaillierter ausgeführt...


    Was deinen Fall angeht: Wurde der sAMAccountName im AD denn geändert?
    Du schreibst von "firma-1", gibt es eine "firma-2" mit dem selben User, so dass vielleicht das falsche AD-Objekt verwendet wird?
    In der STARFACE Datenbank kannst Du einen Blick in die Tabelle accountlogin werfen. Dort findest Du die Spalte samaccountname, in der das gefundene Attribut steht. Wenn dort nichts steht, wurde keine Entsprechung für den User gefunden. Meist ist dann ein Schreibfehler in der Email oder es gibt immer noch den case-sensitiven Vergleich.

  • Ich zitiere einfach mal aus der Dokumentation:


    Um die eindeutige Zuordnung von Domänenbenutzern und Benutzern auf der STARFACE sicherzustellen, muss in beiden Systemen für jeden Benutzer jeweils die exakt gleiche E-Mail-Adresse hinterlegt sein. Auch die Groß- und Kleinschreibung der Mailadresse wird geprüft und muss in an allen Konfigurationsfeldern absolut gleich eingetragen werden.

    Technische Redaktion


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

  • Hallo,


    Fabian: vielen Dank für den Input, werde ich prüfen



    Zitat

    Was deinen Fall angeht: Wurde der sAMAccountName im AD denn geändert?
    Du schreibst von "firma-1", gibt es eine "firma-2" mit dem selben User, so dass vielleicht das falsche AD-Objekt verwendet wird?
    In der STARFACE Datenbank kannst Du einen Blick in die Tabelle accountlogin werfen. Dort findest Du die Spalte samaccountname, in der das gefundene Attribut steht. Wenn dort nichts steht, wurde keine Entsprechung für den User gefunden. Meist ist dann ein Schreibfehler in der Email oder es gibt immer noch den case-sensitiven Vergleich.


    Der sAMAccountname wurde nicht händisch geändert. Denke es liegt an der Case-Sens.... er kann ja nicht mal zuordnen, wie man an dem NULL Attribut in der Log sieht:


    Code
    [2018-04-01 21:37:18,636] DEBUG de.starface.core.component.activedirectory.config.ADValidator Active Directory user: sAMAccountName: Benutzer.Name
    Username: Benutzer.Name@domain.local
    Password: ??? 
    E-Mail: null
    Matched local accountID: null


    tdaber:
    Gut verstanden, ein LIKE ist wohl zu viel verlangt. Sag ich nun einfach nix dazu. Ich bin mir aber sicher, dass der ein oder andere aus der Entwicklung mit lesen wird. -> Jungs(&MäDels)... kommt schon.
    Ich spreche mal mit Niclas da drüber, vielleicht hat der da magische Worte für die Entwicklung...:rolleyes: ...


    Ich werde Reue zeigen und das Ticket, wenn dann alles geht schließen lassen.


    Man man man ... Freunde so macht das kein Spaß

    Cheers - Chris


    STARFACE certified Partner
    Sophos certified Engineer
    schon mal was von MS-AD gehört ;)
    CISCO / HPE / ARUBA Networking

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!