4 4 3 Grolar:Konfigurieren der LDAP/AD Authentifizierung

Other languages:

• Deutsch
• English

Copyright © SEP AG 1999-2024. Alle Rechte vorbehalten.

Jede Form der Reproduktion der Inhalte dieses Benutzerhandbuches, ganz oder in Teilen, ist nur mit der ausdrücklichen schriftlichen Erlaubnis der SEP AG gestattet. Bei der Erstellung dieses Benutzerhandbuches wurde mit größtmöglicher Sorgfalt gearbeitet, um korrekte und fehlerfreie Informationen bereit stellen zu können. Trotzdem kann die SEP AG keine Gewähr für die Richtigkeit der Inhalte dieses Benutzerhandbuches übernehmen.

Dies ist nicht die neueste Version der SEP sesam Dokumentation und bietet daher keine Informationen über die in der neuesten Version eingeführten Funktionen. Weitere Informationen zu SEP sesam Releases finden Sie unter SEP sesam Release Versionen. Die neueste Dokumentation finden Sie in der aktuellen LDAP/AD-Authentifizierungsseite.

Übersicht

Weitere Quellen

Siehe auch: Konfigurieren der Datenbank-basierten Authentifizierung – Über Authentifizierung und Autorisierung – Verwendung von Zugriffskontrolllisten

Unter FAQ finden Sie Antworten auf die häufigsten Fragen.

Im Problemfall nutzen Sie den Troubleshooting Guide.

SEP sesam ermöglicht die Konfiguration einer LDAP-Authentifizierung (Lightweight Directory Access Protocol) in Kombination mit der datenbankbasierten Authentifizierung. Auf diese Weise kann SEP sesam neben der eigenen Datenbank-Authentifizierung auch Benutzer anhand eines externen LDAP-Verzeichnisses (Active Directory, OpenLDAP, NetIQ eDirectory, etc.) authentifizieren. Es bietet die Integration von Benutzer- und Passwortverwaltung sowie SEP sesam Berechtigungen oder Zugriffsrechte, die je nach zugewiesenem Benutzertyp vergeben werden.

Wenn die LDAP-Authentifizierung aktiviert ist, läuft die Anmeldung in den SEP sesam wie folgt:

• Ein Benutzer meldet sich bei SEP sesam an, indem er die entsprechenden Zugangsdaten (Benutzername und Passwort) eingibt.
• Wenn die LDAP- und/oder AD-Authentifizierung in SEP sesam aktiviert ist und die Benutzer entsprechend zugeordnet sind, enthält die SEP sesam Benutzerdatenbank sowohl lokale Benutzer als auch Benutzer, die aus dem LDAP/AD-Verzeichnis importiert wurden. Die LDAP/AD-Authentifizierung ermöglicht es Benutzern dann, sich gemäß ihrem Eintrag im LDAP/AD-Verzeichnis und den Benutzerzuordnungsinformationen bei SEP sesam anzumelden.
• Wenn sowohl die LDAP- als auch die AD-Authentifizierung aktiviert sind, prüft SEP sesam zuerst AD und wenn der Benutzer nicht gefunden wird, prüft er auch LDAP.
• Der Zugriff auf SEP sesam wird verweigert, wenn der Benutzer nicht gefunden wird oder wenn ein Benutzer nicht Mitglied der konfigurierten Gruppen (Authorisierung) ist.

Beachten Sie, dass das Deaktivieren von LDAP/AD Ihre bestehenden LDAP-Einstellungen nicht entfernt. Es deaktiviert nur die SEP sesam Integration mit LDAP. Sie können die LDAP/AD-Authentifizierung jederzeit wieder aktivieren, indem Sie das Kontrollkästchen LDAP/AD aktivieren (Siehe Schritt 2) aktivieren.

	Anmerkung
	Bei der Verwendung der LDAP-Authentifizierung authentifiziert sich SEP sesam gegenüber LDAP, was zu Verzögerungen und einer langsameren SEP sesam-Anmeldung führen kann, da der LDAP-Server Zeit benötigt, um eine Netzwerkverbindung herzustellen und die Daten abzurufen.

Sie können SSL-Verbindungen zu Ihrem LDAP/AD-Server aktivieren, um LDAP für die Authentifizierung zu verschlüsseln, indem Sie ein öffentliches Zertifikat der Zertifizierungsstellen (CAs) importieren, das Ihr LDAP-Serverzertifikat in den Java-Schlüsselspeicher auf dem SEP sesam Server signiert. Details finden Sie unter Beispiel für die Verschlüsselung von LDAP mit eDirectory.

Beachten Sie, dass die Einrichtung von LDAP/AD mit SEP sesam fundierte Kenntnisse der LDAP-Verwaltung erfordert.

<span id="Requirements">

Voraussetzungen

• LDAP oder AD (unabhängig davon, welche Sie für die Authentifizierung verwenden möchten) existiert bereits in Ihrer Unternehmensumgebung und der Dienst ist verfügbar (z.B. Active Directory, OpenLDAP, NetIQ eDirectory, etc.).
• SEP sesam Server mit aktivierter Datenbankauthetifizierung (authEnabled Parameter als true in der Datei sm.ini gesetzt).

	Anmerkung
	Die SEP sesam Active Directory Authentifizierungsmethode ist nicht kompatibel mit Azure AD.

<span id="Configuring_LDAP_authentication">

Konfiguration der LDAP-Authentifizierung

Durch die Integration von LDAP- und SEP sesam-Authentifizierung werden SEP sesam-interne Gruppen Gruppen im LDAP-Verzeichnisbaum zugeordnet, so dass die Mitglieder der LDAP-Gruppen je nach Benutzertyp (Admin, Operator oder Restore) Zugriffsrechte für SEP sesam erhalten. Folglich authentifiziert SEP sesam Benutzer zusätzlich zu seiner eigenen Datenbank-Authentifizierung gegen das externe LDAP-Verzeichnis.

Die Konfiguration der LDAP-Authentifizierung ist ein zweistufiger Prozess: Der Administrator muss Benutzer auf dem LDAP-Server konfigurieren (in unseren Beispielen OpenLDAP und NetIQ eDirectory) und dann die LDAP Authentication in der Berechtigungsverwaltung in der GUI aktivieren.

<span id="OpenLDAP_configuration">

OpenLDAP Konfiguration

1. Geben Sie im LDAP-Browser den DNS-Namen/IP-Adresse Ihres LDAP-Servers ein, z.B. sles11-nfs.jge.home.
2. Erstellen Sie einen (Dienst-)Benutzer in Ihrem LDAP-Baum oder verwenden Sie einen vorhandenen Benutzer mit der Berechtigung Read MemberOf, um sicherzustellen, dass das angegebene Konto die Gruppenzugehörigkeit aller Benutzerzugänge in der Domäne lesen kann. Dieser Benutzer kann andere Benutzer an die jeweilige Gruppe anhängen.


3. Definieren Sie einen Container (LDAP-Baumebene), in dem sich Ihre Gruppen befinden. Zum Beispiel sind die Basis für Gruppen ou=group,dc=jge,dc=home.


4. Geben Sie die Gruppennamen an. Sie können z.B. sepadmin, sepoperators und/oder seprestore verwenden.
5. Identifizieren und notieren Sie alle LDAP-Container mit bestehenden Benutzern, die für die Verwendung von SEP sesam zugelassen werden sollten.
6. Identifizieren und notieren Sie die eindeutige Kennung Ihrer Benutzer, z.B. ee, jge.

LDAP Zusammenfassung für das OpenLDAP-Beispiel

LDAP Server: 					  sles11-nfs.jge.home
LDAP-Benutzer mit Leserechte des Member-Attributs:   cn=Administrator,dc=jge,dc=home
LDAP Gruppencontainer/-basis:			  ou=group,dc=jge,dc=home
LDAP Gruppe, die benutzt werden soll:			  sepadmin, sepoperators, seprestore
LDAP Benutzercontainer/-basis:		          ou=people,dc=jge,dc=home
Eindeutige LDAP Kennung:			          uid

(Micro Focus) NetIQ eDirectory Konfiguration

1. Melden Sie sich als Administrator bei iManager an.
2. Geben Sie den DNS-Namen/IP-Adresse Ihres eDirectory LDAP Servers ein, z.B. oes15-srv1.sep.de.
3. Erstellen Sie einen (Dienst-)Benutzer in Ihrem eDirectory-Baum oder verwenden Sie einen vorhandenen Benutzer, der die Berechtigung zum Lesen der Benutzergruppe hat.
4. Definieren Sie den Container, in dem sich Ihre Gruppen befinden sollen.


5. Geben Sie die Gruppennamen an. Sie können z.B. sepadmingroup, sepoperatorgroup, seprestoregroup verwenden.
6. Identifizieren und notieren Sie alle eDirectory LDAP Container mit bestehenden Benutzern, die zur Verwendung von SEP sesam berechtigt sein sollten.


7. Identifizieren und notieren Sie die eindeutige Kennung Ihrer Benutzer.

LDAP Zusammenfassung für das eDirectory Beispiel:

LDAP Server: 					        oes15-srv1.sep.de
LDAP-Benutzer mit Leserechte des Member-Attributs:	        cn=Admin,o=sep
LDAP Gruppen-Container/Basis:			        ou=groups,o=sep
LDAP Gruppe, die verwendet wird:			        sepadmingroup, sepoperatorgroup, seprestoregroup						
LDAP-Benutzercontainer(s)/Basis(en):			        ou=users,o=sep; ou=it,o=sep; ou=gurus,ou=it,o=sep							
Eindeutige LDAP Kennung:				        cn

<span id="Enabling_LDAP_in_GUI">

Zulassen von LDAP in der GUI

Nachdem Sie Benutzer auf dem LDAP-Server konfiguriert haben (OpenLDAP oder NetIQ eDirectory), können Sie die LDAP-Authentifizierung unter der Berechtigungsverwaltung in der GUI aktivieren, um externe Gruppen den internen SEP sesam-Gruppen (Admin, Operator oder Restore) zuzuordnen.

1. Wählen Sie in der GUI aus der Menüleiste Konfiguration -> Berechtigungsverwaltung. Beachten Sie, dass die Datenbank-Authentifizierung aktiviert sein muss. Weitere Informationen finden Sie unter Konfigurieren der Datenbank-basierten Authentifizierung.
2. Selektieren Sie das Auswahlfeld LDAP Benutzer zulassen und klicken Sie auf OK.



	Anmerkung
	Um die LDAP-Authentifizierung zu aktivieren oder zu deaktivieren, müssen Sie nur das entsprechende Auswahlfeld (de-)aktivieren. Beachten Sie, dass das Klicken auf die Schaltfläche Authentifizierung deaktivieren die SEP sesam Datenbank-basierte Authentifizierung zusammen mit jeder anderen aktivierten Authentifizierungsmethode (LDAP/AD) deaktiviert.

3. Nachdem Sie die LDAP-Authentifizierung aktiviert und Ihre Aktion bestätigt haben, wird die SEP sesam GUI automatisch neu gestartet. Sie müssen den GUI-Client manuell neu starten, damit die Änderungen wirksam werden.
   
   
4. Wechseln Sie zum Reiter LDAP und geben Sie die Werte ein, die Sie bei der Konfiguration von OpenLDAP oder eDirectory erhalten haben, wie im Screenshot für eDirectory unten gezeigt. Sie können die SEP sesam Berechtigungskonfiguration auch ändern, indem Sie die URL auf ldaps://<ldap Servername>:636/ ändern.



	Anmerkung
	Wenn Sie mehrere Benutzer-Container konfiguriert haben, müssen Sie deren Namen gefolgt von einem Komma eingeben, z.B. cn={0},ou=users,o=sep;cn={0},ou=it,o=it,o=sep;cn={0},ou=gurus,ou=it,o=sep.

5. Wechseln Sie zum Reiter Externe Gruppen und klicken Sie auf Erstellen für jede externe Gruppe, der Sie SEP sesam Gruppen zuordnen möchten: Wählen Sie ADMIN, OPERATOR oder RESTORE.
   Klicken Sie auf OK, um Ihre externen LDAP-Gruppen den internen SEP sesam-Gruppen zuzuordnen. Beachten Sie, dass der Zugriff auf SEP sesam verweigert wird, wenn der LDAP-Benutzer nicht Mitglied der konfigurierten Berechtigungsgruppen ist.

Sie können beliebig viele Gruppen konfigurieren. Der folgende Screenshot zeigt alle konfigurierten Gruppen aus den Beispielen OpenLDAP und NetIQ eDirectory.

<span id="Configuring_AD_authentication">

Konfiguration der AD-Authentifizierung

	Anmerkung
	Die SEP sesam Active Directory Authentifizierungsmethode ist nicht kompatibel mit Azure AD.

Der Prozess der Konfiguration der AD-Authentifizierung ist viel einfacher als die Konfiguration der LDAP-Authentifizierung. Sie müssen lediglich Active Directory unter dem Permission Management in der GUI aktivieren, um AD externe Gruppen auf SEP sesam interne Gruppen (Admin, Operator oder Restore) zuzuordnen. Folglich authentifiziert SEP sesam Benutzer zusätzlich zu seiner eigenen Datenbank-Authentifizierung gegen das externe AD-Verzeichnis.

1. Erstellen Sie eine neue AD-Gruppe auf dem Domänencontroller oder verwenden Sie eine bestehende AD-Gruppe. In diesem Beispiel haben wir eine neue AD-Gruppe namens SEPADMIN erstellt und einen bestimmten AD-Benutzer zu dieser Gruppe hinzugefügt. Wir wollen diese AD-Gruppe für den SEP sesam Admin-Zugang verwenden.
2. Wählen Sie in der GUI aus der Menüleiste Konfiguration -> Berechtigungsverwaltung. Beachten Sie, dass die Datenbank-basierte Authentifizierung aktiviert sein muss. Weitere Informationen finden Sie unter Konfigurieren der Datenbank-basierten Authentifizierung.
3. Selektieren Sie das Auswahlfeld AD Benutzer zulassen und klicken Sie auf OK.



	Anmerkung
	Um die AD-Authentifizierung zu aktivieren oder zu deaktivieren, müssen Sie nur das entsprechende Auswahlfeld (de-)aktivieren. Beachten Sie, dass das Klicken auf die Schaltfläche Authentifizierung deaktivieren SEP sesam Datenbank-basierte Authentifizierung zusammen mit jeder anderen aktivierten Authentifizierungsmethode (LDAP/AD) deaktiviert.

4. Nachdem Sie die AD-Authentifizierung aktiviert und Ihre Aktion bestätigt haben, wird die SEP sesam GUI automatisch neu gestartet. Sie müssen den GUI-Client manuell neu starten, damit die Änderungen wirksam werden.
   
   
5. Wechseln Sie auf den Reiter AD und geben Sie URL des Active Directory-Domänencontrollers und eine Domain ein, um die Verbindung zum AD-Verzeichnisserver zu konfigurieren.



	Anmerkung
	Eine AD-URL muss mit dem Protokollpräfix ldap:// beginnen.

6. Wechseln Sie zum Reiter Externe Gruppen und klicken Sie auf Erstellen für jede externe AD-Gruppe, der Sie SEP sesam-Gruppen zuordnen möchten: Wählen Sie ADMIN, OPERATOR oder RESTORE. Sie können beliebig viele Gruppen konfigurieren.
   Klicken Sie auf OK, um Ihre externen AD-Gruppen den SEP sesam internen Gruppen zuzuordnen.


7. Öffnen Sie die SEP sesam GUI wieder und melden Sie sich mit einem AD-Benutzer an. Nur AD-Benutzer, die Mitglieder der angegebenen AD-Gruppe sind, können sich bei SEP sesam anmelden. Beachten Sie, dass der Zugriff auf SEP sesam verweigert wird, wenn der AD-Benutzer nicht Mitglied der konfigurierten Berechtigungsgruppen ist oder wenn der AD-Benutzer deaktiviert ist.

<span id="Example_for_securing_LDAP_with_eDirectory">

Beispiel für die Authentifizierung durch LDAP mit eDirectory

Mit SEP sesam ist es möglich, LDAP zur Authentifizierung zu verwenden, jedoch muss SEP sesam dem LDAP-Server-Zertifikat vertrauen. Sie müssen ein öffentliches Zertifikat der Zertifizierungsstellen (CAs) importieren, das Ihr LDAP-Server-Zertifikat in den Java-Keystore auf dem SEP sesam Server signiert. Beachten Sie, dass eDirectory mit selbstsignierten Zertifikaten (eDirectory Baum CA) arbeitet.

Das folgende Beispiel zeigt einen SEP sesam Linux Server (SLES). Um den OpenLDAP-Client sicher auf SLES verwenden zu können, muss das eDirectory-Zertifikat exportiert werden. Dann müssen Sie es in SEP sesam importieren.

<span id="Step_1:_Exporting_a_public_certificate_from_root_ca">

Schritt 1: Exportieren eines öffentlichen Zertifikats von root ca.

Beachten Sie, dass der iManager über das neueste Plugin für den Micro Focus Zertifikatsserver und den Zugriff verfügen muss, um ordnungsgemäß zu funktionieren.

1. Starten und melden Sie sich bei iManager an.
2. Wählen Sie eDirectory Administration -> Modify Object.
3. Wählen Sie dann Modify object.
4. Wählen Sie die Lupe, um zu dem Container zu gelangen, in dem sich das Objekt <Tree Name> CA befindet, und wählen Sie es aus. Klicken Sie auf OK.
5. Wechseln Sie zum Certificates Reiter.
6. Wählen Sie die Option Self Signed Certificate und klicken Validate.
7. Wählen Sie erneut die Option Self Signed Certificate und klicken Export.
8. Deselektieren Sie die Option Export private key und klicken Next.
9. Wählen Sie dann Save the exported certificate. Beachten Sie, dass Sie entweder File in binary DER format oder File in Base64 format wählen können.
10. Speichern Sie die Datei und geben Sie Ihrem Zertifikat einen aussagekräftigen oder beschreibenden Namen, der es eindeutig identifiziert, z.B. SelfSignCert.der.
11. Klicken Sie Close und dann OK um Ihr öffentliches Zertifikat zu exportieren.

Nachdem das Zertifikat exportiert ist, kopieren Sie es in den SEP sesam Server.

<span id="Step_2:_Importing_a_public_certificate_to_Java_KeyStore">

Schritt 2: Importieren eines öffentlichen Zertifikats in Java KeyStore

Wenn Sie Ihr Zertifikat in Java KeyStore importieren möchten, müssen Sie zunächst den KeyStore für Ihre Java-Version identifizieren. Verwenden Sie den Befehl (als root Benutzer):

find / -iname 'cacerts'
/usr/java/jre1.8.0_144/lib/security/cacerts
/usr/java/jre1.7.0_40/lib/security/cacerts 

Wie im obigen Beispiel gezeigt, verwendet SEP sesam Java 1.8, so dass der entsprechende KeyStore für diese Version /usr/java/jre1.8.0_144/lib/security/cacerts ist.

Das folgende Beispiel zeigt, wie Sie ein öffentliches Zertifikat auf dem Linux-Server mit laufender Teaming-Serversoftware importieren können. Nachdem das Zertifikat exportiert wurde, muss es auf dem Linux-Server sichtbar sein. Sie können dies erreichen, indem Sie das Laufwerk zuordnen/einhängen oder die Dateien lokal kopieren.

Vorgehen:

1. Öffnen Sie eine Terminal-Eingabeaufforderung und wechseln Sie zum Befehl root user (Hinweis: su (user durch den Benutzer ersetzen)).
2. Geben Sie in der Terminal-Eingabeaufforderung keytool ein und drücken Sie Enter.

	Hinweis
	Dies sollte nur eine Liste von Befehlen und Optionen anzeigen, die benötigt werden, um zu überprüfen, ob sich die Keytool-Anwendung im path befindet. Wenn nicht, sollten Sie den Pfad im Java-Verzeichnis bin hinzufügen oder ändern, um die Keytool-Anwendung zu starten.

3. Importieren Sie das öffentliche Zertifikat (z.B. SelfSignedCert.der) mit einem folgenden Befehl in den Java CA KeyStore:
keytool -import -alias < ldap server dns name> -keystore <path to Java CA keystore> -file <certificate file> Beispiel: keytool -import -alias ldap.allnet.com -keystore /etc/alternatives/java_sdk/jre/lib/security/cacerts -file /home/admin/SelfSignedCert.b64

	Anmerkung
	Die Java CA KeyStore-Datei, die normalerweise cacerts genannt wird, finden Sie im Verzeichnis <java sdk/jdk>/jre/lib/security. Es ist möglich, dass bei einem Update des Java-Codes ein Cacert gesichert und durch eine neue Version ersetzt wird, die das manuell importierte Zertifikat noch nicht hat. In diesem Fall wird die LDAP-Authentifizierung auf dem SEP sesam Server eingestellt.

4. Wenn Sie zur Eingabe eines Passworts aufgefordert werden, geben Sie changeit ein.
5. Akzeptieren Sie den Zertifikatsimport, indem Sie mit yes antworten und die Terminal-Eingabeaufforderung schließen.

Das Zertifikat wurde in den Keystore importiert und der SEP sesam Server kann SSL für seine LDAP-Authentifizierung verwenden.

<span id="Commands_examples">

Kommandobeispiele

• Sie können in der Keytool-Anwendung mit dem Befehl -list (keytool -list -keystore <Keystore Dateiname>) überprüfen, ob das Zertifikat korrekt importiert wurde.

/usr/java/jre1.8.0_144/bin/keytool -list -keystore /usr/java/jre1.8.0_144/lib/security/cacerts | grep oes15

Wenn Sie zur Eingabe des Passworts aufgefordert werden, geben Sie changeit ein.

Keystore-Kennwort eingeben:  
oes15tree, 07.05.2018, trustedCertEntry,

/usr/java/jre1.8.0_144/bin/keytool -list -keystore /usr/java/jre1.8.0_144/lib/security/cacerts 

Keystore-Kennwort eingeben:  

 Keystore-Typ: JKS
 Keystore-Provider: SUN

 Keystore enthält 105 Einträge

 verisignclass2g2ca [jdk], 25.08.2016, trustedCertEntry, 
 Zertifikat-Fingerprint (SHA1): 
 B3:EA:C4:47:76:C9:C8:1C:EA:F2:9D:95:B6:CC:A0:08:1B:67:EC:9D
 digicertassuredidg3 [jdk], 25.08.2016, trustedCertEntry,
 Zertifikat-Fingerprint (SHA1): 
 F5:17:A2:4F:9A:48:C6:C9:F8:A2:00:26:9F:DC:0F:48:2C:AB:30:89
 ….............

/usr/java/jre1.8.0_144/bin/keytool -import -alias oes15tree -keystore  /usr/java/jre1.8.0_144/lib/security/cacerts -file 
/tmp/oes15tree_public_cert.der

Keystore-Kennwort eingeben:  
 Eigentümer: O=OES15TREE, OU=Organizational CA
 Aussteller: O=OES15TREE, OU=Organizational CA
 Seriennummer: 21c14e16e79e3e28b6e89a3fbda8091477857741cdbf48bc44d12f70a0a0202060dfa50
 Gültig von: Tue Dec 01 11:12:27 CET 2015 bis: Sun Nov 30 11:12:27 CET 2025
 Zertifikat-Fingerprints:
         MD5:  41:48:73:BD:1C:59:C3:C1:5E:00:6D:11:6B:F4:A2:C7
         SHA1: 49:CB:2B:D5:2C:0B:11:2B:31:00:66:08:0E:CC:F4:D4:9F:61:3E:27
         SHA256: 01:61:BA:80:A1:67:6D:C7:15:9C:01:E5:24:F6:5B:BB:20:90:64:6D:95:A8:56:B2:32:37:CA:23:EF:D5:E6:BB
         Signaturalgorithmusname: SHA1withRSA
         Version: 3

 Erweiterungen: 

 #1: ObjectId: 2.16.840.1.113719.1.9.4.1 Criticality=false
 0000: 30 82 01 B7 04 02 01 00   01 01 FF 13 1D 4E 6F 76  0............Nov
 0010: 65 6C 6C 20 53 65 63 75   72 69 74 79 20 41 74 74  ell Security Att
 0020: 72 69 62 75 74 65 28 74   6D 29 16 43 68 74 74 70  ribute(tm).Chttp
 0030: 3A 2F 2F 64 65 76 65 6C   6F 70 65 72 2E 6E 6F 76  ://developer.nov
 0040: 65 6C 6C 2E 63 6F 6D 2F   72 65 70 6F 73 69 74 6F  ell.com/reposito
 0050: 72 79 2F 61 74 74 72 69   62 75 74 65 73 2F 63 65  ry/attributes/ce
 0060: 72 74 61 74 74 72 73 5F   76 31 30 2E 68 74 6D 30  rtattrs_v10.htm0
 0070: 82 01 48 A0 1A 01 01 00   30 08 30 06 02 01 01 02  ..H.....0.0.....
 0080: 01 46 30 08 30 06 02 01   01 02 01 0A 02 01 69 A1  .F0.0.........i.
 0090: 1A 01 01 00 30 08 30 06   02 01 01 02 01 00 30 08  ....0.0.......0.
 00A0: 30 06 02 01 01 02 01 00   02 01 00 A2 06 02 01 18  0...............
 00B0: 01 01 FF A3 82 01 04 A0   58 02 01 02 02 02 00 FF  ........X.......
 00C0: 02 01 00 03 0D 00 80 00   00 00 00 00 00 00 00 00  ................
 00D0: 00 00 03 09 00 80 00 00   00 00 00 00 00 30 18 30  .............0.0
 00E0: 10 02 01 00 02 08 7F FF   FF FF FF FF FF FF 01 01  ................
 00F0: 00 02 04 06 F0 DF 48 30   18 30 10 02 01 00 02 08  ......H0.0......
 0100: 7F FF FF FF FF FF FF FF   01 01 00 02 04 06 F0 DF  ................
 0110: 48 A1 58 02 01 02 02 02   00 FF 02 01 00 03 0D 00  H.X.............
 0120: 40 00 00 00 00 00 00 00   00 00 00 00 03 09 00 40  @..............@
 0130: 00 00 00 00 00 00 00 30   18 30 10 02 01 00 02 08  .......0.0......
 0140: 7F FF FF FF FF FF FF FF   01 01 00 02 04 14 E1 6E  ...............n
 0150: 79 30 18 30 10 02 01 00   02 08 7F FF FF FF FF FF  y0.0............
 0160: FF FF 01 01 00 02 04 14   E1 6E 79 A2 4E 30 4C 02  .........ny.N0L.
 0170: 01 02 02 02 00 FF 02 01   00 03 0D 00 80 FF FF FF  ................
 0180: FF FF FF FF FF FF FF FF   03 09 00 80 FF FF FF FF  ................
 0190: FF FF FF 30 12 30 10 02   01 00 02 08 7F FF FF FF  ...0.0..........
 01A0: FF FF FF FF 01 01 FF 30   12 30 10 02 01 00 02 08  .......0.0......
 01B0: 7F FF FF FF FF FF FF FF   01 01 FF                 ...........


 #2: ObjectId: 2.5.29.35 Criticality=false
 AuthorityKeyIdentifier [
 KeyIdentifier [
 0000: D3 91 1B 7E 38 C8 A1 05   62 61 22 03 8E 38 AD 12  ....8...ba"..8..
 0010: 6F 43 00 B6                                        oC..
 ]
 ]

 #3: ObjectId: 2.5.29.19 Criticality=false
   CA:true
   PathLen:2147483647
 ]

 #4: ObjectId: 2.5.29.15 Criticality=false
 KeyUsage [
  Key_CertSign
  Crl_Sign
] 

 #5: ObjectId: 2.5.29.14 Criticality=false
 SubjectKeyIdentifier [
 KeyIdentifier [
 0000: D3 91 1B 7E 38 C8 A1 05   62 61 22 03 8E 38 AD 12  ....8...ba"..8..
 0010: 6F 43 00 B6                                        oC..
 ]
 ]

 Diesem Zertifikat vertrauen? [Nein]:  Ja
 Zertifikat wurde Keystore hinzugefügt

New TLS connection 0x13ae5880 from 192.168.x.x:58610, monitor = 0xcc357700, index = 488
Monitor 0xcc357700 initiating TLS handshake on connection 0x13ae5880
DoTLSHandshake on connection 0x13ae5880
BIO ctrl called with unknown cmd 7
Completed TLS handshake on connection 0x13ae5880
DoBind on connection 0x13ae5880
Bind name:cn=sepadmin,ou=users,o=sep, version:3, authentication:simple
Failed to resolve full context on connection 0x13ae5880, err = no such entry (-601)
Failed to authenticate full context on connection 0x13ae5880, err = no such entry (-601)
Sending operation result 49:"":"NDS error: failed authentication (-669)" to connection 0x13ae5880
Monitor 0xcc357700 found connection 0x13ae5880 ending TLS session
DoTLSShutdown on connection 0x13ae5880
Monitor 0xcc357700 found connection 0x13ae5880 socket closed, err = -5871, 0 of 0 bytes read
Monitor 0xcc357700 initiating close for connection 0x13ae5880
Server closing connection 0x13ae5880, socket error = -5871
Connection 0x13ae5880 closed
New TLS connection 0x13ae5880 from 192.168.x.x:58612, monitor = 0xcc357700, index = 488
Monitor 0xcc357700 initiating TLS handshake on connection 0x13ae5880
DoTLSHandshake on connection 0x13ae5880
BIO ctrl called with unknown cmd 7
Completed TLS handshake on connection 0x13ae5880
DoBind on connection 0x13ae5880
Bind name:cn=sepadmin,ou=it,o=sep, version:3, authentication:simple
Sending operation result 0:"":"" to connection 0x13ae5880
DoSearch on connection 0x13ae5880
Search request:
        base: "cn=sepadmin,ou=it,o=sep"
        scope:0  dereference:3  sizelimit:0  timelimit:0  attrsonly:0
        filter: "(objectClass=*)"
        no attributes
nds_back_search: Search Control OID 2.16.840.1.113730.3.4.2
Empty attribute list implies all user attributes
Sending search result entry "cn=sepadmin,ou=it,o=sep" to connection 0x13ae5880
Sending operation result 0:"":"" to connection 0x13ae5880
DoUnbind on connection 0x13ae5880
Connection 0x13ae5880 closed
New TLS connection 0x13ae5880 from 192.168.x.x:58613, monitor = 0xcc357700, index = 488
Monitor 0xcc357700 initiating TLS handshake on connection 0x13ae5880
DoTLSHandshake on connection 0x13ae5880
BIO ctrl called with unknown cmd 7
Completed TLS handshake on connection 0x13ae5880
DoBind on connection 0x13ae5880
Bind name:cn=ldapuser,o=sep, version:3, authentication:simple
Sending operation result 0:"":"" to connection 0x13ae5880
DoSearch on connection 0x13ae5880
Search request:
        base: "ou=groups,o=sep"
        scope:2  dereference:3  sizelimit:0  timelimit:0  attrsonly:0
        filter: "(member=cn=sepadmin,ou=it,o=sep)"
        attribute: "cn"
        attribute: "objectClass"
        attribute: "javaSerializedData"
        attribute: "javaClassName"
        attribute: "javaFactory"
        attribute: "javaCodeBase"
        attribute: "javaReferenceAddress"
        attribute: "javaClassNames"
        attribute: "javaRemoteLocation"
 nds_back_search: Search Control OID 2.16.840.1.113730.3.4.2
 Sending search result entry "cn=seprestoregroup,ou=groups,o=sep" to connection 0x13ae5880
 Sending search result entry "cn=sepoperatorgroup,ou=groups,o=sep" to connection 0x13ae5880
 Sending search result entry "cn=sepadmingroup,ou=groups,o=sep" to connection 0x13ae5880
 Sending operation result 0:"":"" to connection 0x13ae5880
 DoUnbind on connection 0x13ae5880
 Connection 0x13ae5880 closed

New TLS connection 0x167e9180 from 192.168.1.11:59405, monitor = 0xcc357700, index = 485
Monitor 0xcc357700 initiating TLS handshake on connection 0x167e9180
DoTLSHandshake on connection 0x167e9180
BIO ctrl called with unknown cmd 7
Completed TLS handshake on connection 0x167e9180
DoBind on connection 0x167e9180
Bind name:cn=sepadmin,ou=users,o=sep, version:3, authentication:simple
Failed to resolve full context on connection 0x167e9180, err = no such entry (-601)
Failed to authenticate full context on connection 0x167e9180, err = no such entry (-601)
Sending operation result 49:"":"NDS error: failed authentication (-669)" to connection 0x167e9180
Monitor 0xcc357700 found connection 0x167e9180 ending TLS session
DoTLSShutdown on connection 0x167e9180
Monitor 0xcc357700 found connection 0x167e9180 socket closed, err = -5871, 0 of 0 bytes read
Monitor 0xcc357700 initiating close for connection 0x167e9180
Server closing connection 0x167e9180, socket error = -5871
Connection 0x167e9180 closed
New TLS connection 0x167e9180 from 192.168.1.11:59408, monitor = 0xcc357700, index = 485
Monitor 0xcc357700 initiating TLS handshake on connection 0x167e9180
DoTLSHandshake on connection 0x167e9180
BIO ctrl called with unknown cmd 7
Completed TLS handshake on connection 0x167e9180
DoBind on connection 0x167e9180
Bind name:cn=sepadmin,ou=it,o=sep, version:3, authentication:simple
Failed to authenticate local on connection 0x167e9180, err = failed authentication (-669)
Sending operation result 49:"":"NDS error: failed authentication (-669)" to connection 0x167e9180
Monitor 0xcc357700 found connection 0x167e9180 ending TLS session
DoTLSShutdown on connection 0x167e9180
Monitor 0xcc357700 found connection 0x167e9180 socket closed, err = -5871, 0 of 0 bytes read
Monitor 0xcc357700 initiating close for connection 0x167e9180
Server closing connection 0x167e9180, socket error = -5871
Connection 0x167e9180 closed
New TLS connection 0x167e9180 from 192.168.1.11:59409, monitor = 0xcc357700, index = 485
Monitor 0xcc357700 initiating TLS handshake on connection 0x167e9180
DoTLSHandshake on connection 0x167e9180
BIO ctrl called with unknown cmd 7
Completed TLS handshake on connection 0x167e9180
DoBind on connection 0x167e9180
Bind name:cn=sepadmin,ou=gurus,ou=it,o=sep, version:3, authentication:simple
Failed to resolve full context on connection 0x167e9180, err = no such entry (-601)
Failed to authenticate full context on connection 0x167e9180, err = no such entry (-601)
Sending operation result 49:"":"NDS error: failed authentication (-669)" to connection 0x167e9180
Monitor 0xcc357700 found connection 0x167e9180 ending TLS session
DoTLSShutdown on connection 0x167e9180
Monitor 0xcc357700 found connection 0x167e9180 socket closed, err = -5871, 0 of 0 bytes read
Monitor 0xcc357700 initiating close for connection 0x167e9180
Server closing connection 0x167e9180, socket error = -5871
Connection 0x167e9180 closed