guacamole-user mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Mariano Di Girolamo <m.digirol...@tecnodata-srl.it>
Subject Re: LDAP_USER_BASE_DN pointing to an AD Security Group
Date Wed, 02 Aug 2017 14:45:43 GMT
The user used in bind is member of administrator. 
I installed the new version of guacamole (0.9.13) but I have the same problem. 
If I configure the base-dn like "DC=test,DC=local" I have this error on catalina.out 

ERROR o.a.g.a.l.AuthenticationProviderService - Cannot bind with LDAP server: Error while
query user DNs. 




Di Girolamo Mariano 
cell. +39 329 0552286 
tel. +39 0735 762626 3 
Tecnodata s.r.l. - Via Val Tiberina, 23A - 63074 San Benedetto del Tronto (AP) Italy 
tel. +39 0735 7626261 - www.tecnodata-srl.it 
Il contenuto di questa e-mail e degli eventuali allegati, è strettamente confidenziale, non
producibile in giudizio e destinato alla/e persona/e a cui è indirizzato. Se avete ricevuto
per errore questa e-mail, Vi preghiamo di segnalarcelo immediatamente e di cancellarla dal
vostro computer. E' fatto divieto di copiare e divulgare il contenuto di questa e-mail. Ogni
utilizzo abusivo delle informazioni qui contenute da parte di persone terze o comunque non
indicate nella presente e-mail, potrà essere perseguito ai sensi di legge. 


Da: "Nick Couchman" <nick.couchman@yahoo.com> 
A: "user" <user@guacamole.incubator.apache.org> 
Inviato: Lunedì, 31 luglio 2017 15:24:06 
Oggetto: Re: LDAP_USER_BASE_DN pointing to an AD Security Group 

Hmmm...that's not very useful. Does the user account you're using to bind for the search have
access to the other OUs? Generally they do, unless you've specifically locked down that users
permissions. 

Any error messages in the log file for your application server (Tomcat, JBoss - whatever you're
using)? 

-Nick 

== He has shown you, O man, what is good; And what does the LORD require of you But to do
justly, To love mercy, And to walk humbly with your God? --Micah 6:8-- == 



On Monday, July 31, 2017, 3:29:36 AM EDT, Mariano Di Girolamo <m.digirolamo@tecnodata-srl.it>
wrote: 


Hi Nick, 
thanks for your reply. 
I changed the ldap-user-base-dn like your suggestion ( DC=test,DC=local ), but now nobody
can access to guacamole. 
I don't use LDAP but samba4 domain controller. 



Di Girolamo Mariano 
cell. +39 329 0552286 
tel. +39 0735 762626 3 
Tecnodata s.r.l. - Via Val Tiberina, 23A - 63074 San Benedetto del Tronto (AP) Italy 
tel. +39 0735 7626261 - www.tecnodata-srl.it 
Il contenuto di questa e-mail e degli eventuali allegati, è strettamente confidenziale, non
producibile in giudizio e destinato alla/e persona/e a cui è indirizzato. Se avete ricevuto
per errore questa e-mail, Vi preghiamo di segnalarcelo immediatamente e di cancellarla dal
vostro computer. E' fatto divieto di copiare e divulgare il contenuto di questa e-mail. Ogni
utilizzo abusivo delle informazioni qui contenute da parte di persone terze o comunque non
indicate nella presente e-mail, potrà essere perseguito ai sensi di legge. 


Da: "Nick Couchman" <nick.couchman@yahoo.com> 
A: "user" <user@guacamole.incubator.apache.org> 
Inviato: Venerdì, 28 luglio 2017 23:11:39 
Oggetto: Re: LDAP_USER_BASE_DN pointing to an AD Security Group 

In order to accomplish what you're trying to do, you need to change your base DN to a higher-level.
So, the following line: 

ldap-user-base-dn: OU=guacamoleou,DC=test,DC=local 

would need to be changed to: 

ldap-user-base-dn: DC=test,DC=local 

Another option is to leave the base DN as you have it, enable Alias Dereferencing (see the
manual) and then link any additional users into the guacamoleou OU object. 

Finally, there is a JIRA issue out there for changing LDAP behavior such that you can put
multiple OUs in, but I don't think it has been implemented, yet. 

-Nick 


On Friday, July 28, 2017, 4:15:10 AM EDT, Mariano Di Girolamo <m.digirolamo@tecnodata-srl.it>
wrote: 


Hi Marco, 
I installed your patch on guacamole 0.9.12 and now only members to the group I specified on
ldap-user-filter can access to guacamole, but this is true 
only if users are in the OU configured on ldap-user-base-dn. 
What can I do to enable users in different OU? 

This is my configuration on guacamole.properties: 

ldap-hostname: dc.test.local 
ldap-port: 389 
ldap-users-filter: memberOf=CN=guacgroup,DC=test,DC=local 
ldap-user-base-dn: OU=guacamoleou,DC=test,DC=local 
ldap-search-bind-dn: CN=guacamole,OU=guacamoleou,DC=test,DC=local 
ldap-search-bind-password: mypass 
ldap-username-attribute: sAMAccountName 


Thanks 



Di Girolamo Mariano 
cell. +39 329 0552286 
tel. +39 0735 762626 3 
Tecnodata s.r.l. - Via Val Tiberina, 23A - 63074 San Benedetto del Tronto (AP) Italy 
tel. +39 0735 7626261 - www.tecnodata-srl.it 
Il contenuto di questa e-mail e degli eventuali allegati, è strettamente confidenziale, non
producibile in giudizio e destinato alla/e persona/e a cui è indirizzato. Se avete ricevuto
per errore questa e-mail, Vi preghiamo di segnalarcelo immediatamente e di cancellarla dal
vostro computer. E' fatto divieto di copiare e divulgare il contenuto di questa e-mail. Ogni
utilizzo abusivo delle informazioni qui contenute da parte di persone terze o comunque non
indicate nella presente e-mail, potrà essere perseguito ai sensi di legge. 


-- 
Questo messaggio e' stato analizzato ed e' risultato non infetto. 
This message was scanned and is believed to be clean. 


-- 
Questo messaggio e' stato analizzato ed e' risultato non infetto. 
This message was scanned and is believed to be clean. 

Mime
View raw message