Laserjet per LDAP einbinden

Diskussionen rund um Windows Server 2012 Essentials
Antworten
anderl1969
Foren-Mitglied
Beiträge: 233
Registriert: 18. Jun 2010, 11:49

Laserjet per LDAP einbinden

Beitrag von anderl1969 »

Ich hab mir einen Laserjet MFP M477fdw gegönnt - ein Multifunktions-Gerät, das auch einige netz-basierte Funktionen bietet.
Der Drucker kann auch via LDAP auf den Server zugreifen, um z.B. die Email-Adressen von Benutzern abzufragen. Allerdings scheitere ich hierbei völlig :nw

Kann mich bitte mal jemand bei der Hand nehmen und mir bei der Konfiguration helfen? Ich wäre zu tiefst dankbar :D

Vorab: auf dem Server ist die "Active Directory Lightweight Directory Services" - Rolle NICHTinstalliert. Ich geh davon aus, dass ein AD auch so LDAP kompatibel ist. Falls ich die doch brauche, bitte sagen.

Das Web-Interface des Druckers bietet folgenden Dialog. Die gelb markierten Einträge waren vorbelegt, den Rest habe zusammen geraten. Funktionieren tut's auf alle Fälle schon mal nicht...
ldap.PNG
ldap.PNG (22.6 KiB) 3226 mal betrachtet
[+] Meine Server-Konfiguration
Home Server
System: HP ProLiant MicroServer Gen8 | Intel Xeon E3-1220L v2 | 2x HP DIMM 4 GB DDR3 ECC
Boot: Controller HPE Smart Array B120i | Physical 1x AData SP900 (SSD)
Data: Controller HPE Smart Array P222 | Logical RAID 5 12,0 TB | Physical 4x WD 40 EFRX 4,0 TB
OS: Server 2016 Essentials | Add-Ins: Lights Out

Backup-Server
System: HP ProLiant MicroServer Gen8 | Intel G1610T | 1x Kingston DIMM 8 GB DDR3 ECC
Boot: Controller HPE Smart Array B120i | Physical 1x Samsung 850 pro (SSD)
Data: Controller HPE Smart Array B120i | Physical 2x Hitachi Deskstar 5k300 2,0 TB + WD 80 EFZX 8,0 TB + WD 30 EFRX 3,0 TB
OS: Server 2016 Standard | Add-Ins: Lights Out
Benutzeravatar
Nobby1805
Moderator
Beiträge: 21372
Registriert: 6. Jun 2009, 17:40
Wohnort: Essen

Re: Laserjet per LDAP einbinden

Beitrag von Nobby1805 »

So weit ich das sehe, musst du die Rolle installieren ... intern verwendet der AD andere Mechanismen ...
solange die LDAP-Anmeldung nicht klappt brauchst du gar nichts anderes zu versuchen
WHS:inzwischen abgeschaltet Acer H340 mit 1x 1 TB (WD10EAVS), 3x 2 TB (2 WD20EARS und 1 ST2000DM001), PP3+UR2
Server:
Intel Celeron J3455 auf Gigabyte Board, Win 10 Pro x64 21H2, 640 GB (System), 16 TB (Backup), 4 TB (Daten), Lindenberg Backup und LightsOut 3
5 Clients:
1 Intel i5-4670K, ASUS H87-PRO, 32 GB, 250 GB SSD, 2x 500 GB, Win 10 Pro x64 21H2
1 Lüfterlos fürs Wohnzimmer, Intel Celeron N4100, 4 GB, 128 GB, Win 11 Pro x64 21H2
1 AMD Ryzen 7 3700X, Gigabyte AORUS, 32 GB, Win 10 Pro x64 2009
1 Sony Vaio EB 2H4E, Win 10 Home x64 2009
1 Samsung NP-R540-JS09DE, Win 10 Pro x64 2009


WHSListTombstones, ein Tool zur Auflistung aller Tombstones
WHSDisks, ein Tool zur Darstellung und Prüfung der DriveExtender-Konfiguration
WHSDiskNames, ein Tool zur Änderung der Plattennamen in der Konsole
WHSBackup, Infos und Tool zur Backup-DB (2011-Version (auch für WSE2012))
Bitte schreibt bei Fragen und Problemen eure Konfig in die Signatur
anderl1969
Foren-Mitglied
Beiträge: 233
Registriert: 18. Jun 2010, 11:49

Re: Laserjet per LDAP einbinden

Beitrag von anderl1969 »

Ich muss Dir widersprechen.

Ich hab mich gestern Abend ein wenig in die Materie eingelesen:
Die Rolle "Active Directory Lightweight Directory Services" auf dem Server brauchts nur, wenn die Client-App zusätzliche Attrbute benötigt, die im Active Directory standardmäßig nicht existieren. Anstatt also für jede Client-App, die sowas will, das Schema des AD zu erweitern, setzt man die ADLDS auf und kann für jede Client-App eine eigene Instanz des LDS aufsetzen mit den jeweiligen zusätzlichen Erweiterungen.

Das ist schon sehr speziell und geht weit über das geforderte hinaus.

Grundsätzlich ist jedes AD auch über LDAP ansprechbar. Man muss nur wissen wie. Ich hab's gestern mit viel Lesen und noch mehr rumprobieren dann doch noch hinbekommen:
ldap ok.PNG
ldap ok.PNG (22.86 KiB) 3163 mal betrachtet
Ums nochmal klarzustellen: Ich habe auf dem Server deswegen keine weiteren Rollen oder Features installieren müssen!!!

Die entscheidenden Änderungen habe ich gelb markiert.
1) Im Bind- und Suchpfad ist users natürlich ein "common name" (CN) und keine "Organization Unit" (OU).
2) Beim Benutzernamen zum Testen der Anmeldung will LDAP keine Domain vorne dran stehen haben, also nur anderl und nicht habnet\anderl. Logisch, da ich oben CN las Bindpräfix angegeben hatte.

Wenn's recht ist, hole ich an der Stelle mal ein bißchen aus und dokumentiere mal mein frisch erworbenes (Halb-)Wissen. Es geht hier zwar konkret um die Anbindung meines LaserJets, aber andere Clients, die sich per LDAP am Server anmelden wollen, sollten ähnlich funktioneren. Vielleicht hilft's ja mal dem ein oder anderen weiter:

LDAP-Server Adresse und Port:
Die Server-Adresse ist logischerweise die Adresse des DC. Der Port ist 389, bzw. 636 bei SSL-Verschlüsselung

Bindpräfix für Gerätebenutzer-Anmeldeinformation:
Hiermit wird festgelegt, als welches LDAP-Attribut der beim Login vom Anwender eingegebene Name interpretiert werden soll. CN steht für common name und entspricht in meinem AD dem username.

Bind- und Suchpfad:
Hier muss man LDAP angeben, wo es überhaupt im AD suchen soll. Ich möchte, dass es innerhalb der Domänen-Ordners "users" sucht. Bei größeren Active Directories könnte man zusätzlich z.B. über Organization Units (OU) eingrenzen. Bei mir aber nicht notwendig.
Die LDAP-Notation will hier den Distinguished Name. Den kann man sich ganz einfach aus den Eigenschaft von users im Active Directory-Benutzer und -Computer - Tool im Reiter "Attribut-Editor" ansehen
Deswegen: CN=Users, DC=habnet, DC=local
cn distinguished pfad.PNG
cn distinguished pfad.PNG (20.5 KiB) 3163 mal betrachtet
Zuordnung des mit diesem Attribut eingegebenen Namen:
Beim Suchen der Benutzerinformationen in der LDAP-Datenbank wird der Inhalt des in diesem Feld angegebenen Attributs mit dem Benutzernamen verglichen, der während der Authentifizierung eingegeben wurde. Dieses Attribut ist in der Regel mit dem Bind-Präfix identisch = CN
D.h. also, das was ich beim Logon als Anmeldename (CN) eingebe, wird von LDAP mit den normalen Benutzernamen (CN) im AD abgeglichen.

Bis hierher war's relativ allgemein. Ab jetzt wird's Laserjet spezifisch:

E-Mail-Adresse des Benutzers mit diesem Attribut abrufen:
Der LaserJet will auch die Email-Adresse des angemeldeten Users abfragen. Für den eigentlichen Anmelde-Prozess nicht zwingend erforderlich, aber der LaserJet benötigt diese Information für weitere Funktionen. Die Email-Adresse ist im Attribut mail gespeichert. Auch das findet man im Active Directory-Benutzer und -Computer - Tool raus, wenn man per Doppelklick die Eigenschaften eines users öffnet und in den Reiter "Attribut-Editor" wechselt.

Namen des Gerätebenutzers mit diesem Attribut abrufen:
Auch diese Information ist nicht für den eigentlichen Anmeldeprozess, sondern für die spätere Verwendung. Damit kann man festlegen, mit welchen Attribut der LaserJet den Anzeige-Namen füttert. Hier könnte man genauso gut CN angeben. Dann würde der LaserJet in einer späteren Anwendung den angemeldeten User auch nur mit seinem Usernamen ansprechen können. Da ich hier displayName angegeben habe, kennt der LaserJet somit auch den vollen Namen (Vor- und Zuname) des angemeldeten Benutzers.
[+] Meine Server-Konfiguration
Home Server
System: HP ProLiant MicroServer Gen8 | Intel Xeon E3-1220L v2 | 2x HP DIMM 4 GB DDR3 ECC
Boot: Controller HPE Smart Array B120i | Physical 1x AData SP900 (SSD)
Data: Controller HPE Smart Array P222 | Logical RAID 5 12,0 TB | Physical 4x WD 40 EFRX 4,0 TB
OS: Server 2016 Essentials | Add-Ins: Lights Out

Backup-Server
System: HP ProLiant MicroServer Gen8 | Intel G1610T | 1x Kingston DIMM 8 GB DDR3 ECC
Boot: Controller HPE Smart Array B120i | Physical 1x Samsung 850 pro (SSD)
Data: Controller HPE Smart Array B120i | Physical 2x Hitachi Deskstar 5k300 2,0 TB + WD 80 EFZX 8,0 TB + WD 30 EFRX 3,0 TB
OS: Server 2016 Standard | Add-Ins: Lights Out
Antworten