[6.200] Novell eDirectory Howto

Hi Sven, 

In order to help Novell Customers get up to speed with our new features, 
we created a Wiki with all relevant informations:
http://nsm-wiki.astaro.com

In your case i am surprised that it staies empty.

For the eDirectory browser to work, 
you need to configure the IP/Port/SSL settings.
the Context is optional and is only used for the actual authentication.

If you entered this information and start the eDir Browser, the WebGUI will create an anonymous ldap bind to your edirectory, 
trying to read the tree structure.

If your access control of your eDirectory does not allow an anonymous bind to read everything, 
you need to 
- enable "SSO"
- enter BindDN and password, which is able to read the structure
- disable "SSO"

than the next time you open the eDir Browser, it will use this BaseDN to connect the eDirectory.

I suggest that you add a specific "ASG user" that only is allowed to read the tree and use that one.

Hope this helps, 
regards

Gert

Hi Gert, 
thanks for the Reply. Enabling SSO with
a user helped (cn=,o=)

Thanks a lot...

Hi Gert, 
thanks for the Reply. Enabling SSO with
a user helped (cn=,o=)

Thanks a lot...

Beside that:
At the moment you click the button "Browse eDirectory" you will see some rudimentary informations in the logfile /var/log/httpd.log ("HTTP daemon" in Webadmin). At least you should see a message "Can't connect!", if the problem is related to the connection itself.

Xeno

For the authentication I found something
in /var/log/aua.log

For now I am trying to get SSO (Single Sign On) to work.
Does someone know if there are special Client Properties needed?
I have never used SSO before, does NMAS have to be installed?

Hi Sven, 

In order to use SSO you do not need any additonal software on the clients besides the regular Netware Client.
So you do  NOT need Client trust (CLNTRUST) or NMAS or NICI or any other Novell software.

Just eDirectory and a Netware Client.

How does the SSO work?
I posted a basic explanation here:
http://nsm-wiki.astaro.com/wiki/FAQ_for_Novell_users

Please let me know it works?

thx Gert

Mmmhhh...
do not get it to work. If I enable SSO in HTTP Proxy for example,
I still get the Proxy Authentication Dialog (in Firefox).
If I enter my username and password I am able to use the proxy
(but this is not SSO I think)...

aua.log says:
2006:03:22-15:12:18 (none) aua[6924]: do_auth_edir() eDirectory Authentication failed - user '192.168.X.XXX' or password not valid
2006:03:22-15:12:18 (none) aua[6924]: U:192.168.X.XXX F:http R[:D]ENIED C:edir
2006:03:22-15:12:18 (none) aua[2554]: U:USERNAME F:http R[:$]K [] C:cached

So it seems ASG first tries the SSO and this fails. Then it uses the normal Authentication.... ???

Maybe the problem is that client is installed IPX only?

Hi,

seems the "SSO bind user" does not have permission to search for the IP address in the eDirectory. Do you have a "SSO bind user" set? Are you able to see all objects by using the eDirectory Browser?

Xeno

> Maybe the problem is that client is installed IPX only? 
>do_auth_edir() eDirectory Authentication failed - user '192.168.X.XXX' or

Whose IP address is that? It should be the IP address of the Novell Client Machine.

Xeno

Hi,
I have the exact same problem.
At the moment, my SSO bind user is the admin user itself.
I'm able to browse eDirectory objects, although it seems kind of slow. Maybe there's some kind of timeout envolved.
I hope someone will find a fix, I could really use it.
Thanks

Hi Xeno, tried some things:

- Installed a machine with an IP-Only Client -> no change
- The IP Adress I see in the AUA.LOG is the IP Adress of the machine which tries to use the Proxy -> so this is correct
- I have a special SSO User Created to connect to the eDirectory, for testing purposes I used "admin" to see if I configured the wrong user but the user seems to be correct

I will check if I can get something via DSTRACE...


cu SveN

Here is the DSTRACE:

 Code:

---

 New TLS connection 0x60e7c380 from 192.168.X.YYY:56349, monitor = 0x204, index = 3



Monitor 0x204 initiating TLS handshake on connection 0x60e7c380

DoTLSHandshake on connection 0x60e7c380                                         

Completed TLS handshake on connection 0x60e7c380                                

DoBind on connection 0x60e7c380                                

Bind name:cn=192.168.X.XXX,o=CONTEXT, version:3,authentication:simple

17:02:36

Failed to resolve full context on connection 0x60e7c380, err = no such entry (-601)

Failed to authenticate full context on connection 0x60e7c380, err = no such entry (-601)                                                                        

Sending operation result 32:"":"NDS error: no such entry (-601)" to connection 0x60e7c380                                                                       

TLS read failure 5 on connection 0x60e7c380, setting err = -5875. Error stack:  

Monitor 0x204 found connection 0x60e7c380 socket failure, err = -5875, 0 of 0 bytes read                                                                        

Monitor 0x204 initiating close for connection 0x60e7c380                        

Server closing connection 0x60e7c380, socket error = -5875                      

Connection 0x60e7c380 closed    

---

 

Does not look very good.... anyone an idea???

I had the exact same problem with the SSO.  My BIND DN was that of my IP address instead of the BIND user/pass specified under SSO.  After the upgrade to 6.200 the server didn't restart, I manually restarted the server and it started binding correctly and SSO began working.