Wie man eDirectory und LDAP-Authentifizierung konfiguriert

Übersicht

EIN wesentliches Merkmal der Palo Alto Networks Firewall ist das Mapping von Benutzernamen auf IP-Adressen. Sobald die Palo Alto Networks Firewall die Namen kennt, die mit IP-Adressen verbunden sind, kann die Firewall:

• Diese Informationen protokollieren
• Steuerung des Verkehrs auf der Grundlage eines bestimmten Benutzernamens oder einer Gruppe

Die Firewall verwendet zwei Methoden, um Benutzername-zu-IP-Adress-Mapping, transparente und interaktive Authentifizierung durchzuführen.

In diesem Dokument wird die Konfiguration einer transparenten Authentifizierung über einen eDirectory-Server und eine interaktive Authentifizierung über einen LDAP-Server diskutiert. Die Diskussion besteht aus zwei Teilen:

• Transparente Erfassung von AuthentifizierungsInformationen aus dem eDirectory
• Mit dem LDAP-Server für die Authentifizierung mit Captive Portal, SSL VPN oder Firewall-GUI-Zugriff

Vor dem Start der Einrichtung empfehlen wir, einen lokalen LDAP-Browser zu haben, um die Einstellungen für den User-ID-Agent und die Palo Alto Networks Firewall zu überprüfen. Beispiele in diesem Dokument sind die Verwendung von JXplorer, einem kostenlosen, plattformübergreifenden LDAP-Browser, der hier heruntergeladen werden soll: http://jxplorer.org/.

Details

Die Palo Alto Networks Firewall verwendet zwei Methoden, um Benutzernamen auf IP-Adressen zu kartieren:

• Transparente Authentifizierung: die Firewall kann automatisch Benutzernamen und IP-Mappings von aktiven Verzeichnis-Domain-Controllern abrufen, indem Sie den Active Directory User-ID Agent verwendet.  In diesem Fall hat sich der Benutzer zuvor in der Domain eingeloggt und wird daher nicht nach Beglaubigungen durch die Firewall gefragt.
• Interaktive Authentifizierung: die Firewall kann zum Benutzernamen anregen, dann über RADIUS oder eine lokale Benutzerdatenbank authentifizieren. Dies würde gelten, wenn Fusers:
  • Läuft Mac oder Linux-Clients (genannt Captive Portal).
  • Verbindung zur Firewall über unser SSL VPN.
  • Der Versuch, sich als Administrator in die Firewall-GUI einzuloggen.

Die oben genannten Methoden werden auf:

• Transparente Authentifizierung: die Firewall kann automatisch Benutzernamen und IP-Mappings von aktiven Verzeichnis-Domain-Controllern (mit dem Active Directory User-ID Agent) oder von eDirectory-Servern abrufen (mit dem neuen eDirectory User-ID Agent). 
  Hinweis: der neue User-ID-Agent ist aufgrund der einzigartigen Login-Informationen eDirectory-Tracks mit nur eDirectory 8,8 kompatibel.
• Interaktive Authentifizierung: die Firewall kann zum Benutzernamen anregen, dann den Benutzer über RADIUS, eine lokale Benutzerdatenbank oder einen LDAP-Server authentifizieren.

Transparente Erfassung von AuthentifizierungsInformationen aus dem eDirectory

Novell es eDirectory ist ein Verzeichnisdienst, der LDAP-Abfragen vollständig unterstützt. Bei eDirectory werden, wenn sich ein Benutzer authentifiziert, die Quell-IP-Adresse und die Anmeldezeit im Verzeichnis in den Feldern gespeichert: networkAddress (in einem proprietären Binärformat) und loginTime. Der neue User-ID-Agent kann diese Informationen gezielt lesen und die Nutzer transparent auf Ihre IP-Adressen abbilden.

LDAP-Unterstützung in PAN-OS fragt das Verzeichnis ab, baut Listen von Gruppen für Richtlinien auf und bildet Benutzer an Gruppen. Aus diesem Abschnitt ist ein Teil des Prozesses der Implementierung von eDirectory-Unterstützung die Konfiguration von LDAP-Informationen auf dem Palo Alto Networks-Gerät.

Installation und Konfiguration des Benutzer-ID-Agents

• Vergewissern Sie sich, dass Sie Novell eDirectory 8,8 oder später ausführen.  Der User-ID-Agent verwendet einige LDAP-Funktionen, die in früheren Versionen von eDirectory nicht verfügbar sind.
• Installieren Sie den neuen User-ID Agent.  Melden Sie sich in das Support-Konto unter: https://support.paloaltonetworks.com.   Gehen Sie zu Software-Updates, dann Benutzer-Identifikations-Agent-Sektion und suchen Sie nach einer Version, die in "-LDAP" endet.

  

  Laden Sie diese. msi-Datei auf den Windows-Server, auf dem der Agent läuft. Installieren Sie die. msi-Datei, während Sie sich als Administrator einloggen. Es wird als lokaler Dienst unter dem lokalen Systemkonto laufen. Der Service-Name ist User-ID-Agent, wie hier in der Services-Management-Konsole gezeigt.

  

• Nach der Installation starten Sie den User-ID-Agent und wählen Sie configure aus, um Folgendes anzuzeigen:

  

  • Gerät Listening Port: Verwenden Sie die Voreinstellung. Diese Portnummer ist für die Kommunikation zwischen diesem Agenten und der PA-Firewall.  Denken Sie an diese Portnummer bei der Konfiguration der Palo Alto Networks Firewall.
  • Aktivieren Sie die Liste der NetzwerkAdresse erlauben/ignorieren.  Fügen Sie die Netzwerke hinzu, die Sie für User-IDs überwachen möchten.  Für Terminal Server oder andere Multi-User-Rechner, fügen Sie diese IP-Adressen in die Ignorierliste ein, da wir den Terminal Services Agent verwenden müssen, um die Benutzer auf diesen Systemen zu verfolgen.
• EDirectory-Einstellungen konfigurieren. Wählen Sie auf der linken Seite den Menüpunkt eDirectory aus, um Folgendes anzuzeigen:

  

  Führen Sie folgende Schritte:

  

  Klicken Sie auf OK und erweitern Sie die Root-Objekte, um die Basis DN zu bestimmen.  Wählen Sie auch die Ansicht der Tabellen Redaktion, um den aktuellen Objekttyp zu sehen. In diesem Beispiel ist die Basis o = Lab.

  

  • Server Geben Sie die IP-Adresse des zu überWachenden eDirectory-Servers ein und klicken Sie auf hinzufügen. Um mehrere Server zu überwachen, klicken Sie auf die Option KopierEinstellung, um die Einstellungen am unteren Bildschirmrand für jeden Server zu konfigurieren. Möglicherweise müssen Sie Informationen für mehrere eDirectory-Server eingeben. Wenn das Verzeichnis unter den Servern aufgeteilt ist, stellen Sie sicher, dass jede Partition einen Server konfiguriert hat. Je nachdem, wie schnell Informationen zwischen den Servern synchronisiert werden, können Sie auch zusätzliche Server hinzufügen, um sicherzustellen, dass Benutzer-/IP-Mappings schneller angezeigt werden.
  • Die Suchbasis ist die Basis DN (oder root) des Verzeichnisses, in dem der Agent nach Benutzern sucht. In einem großen Einsatz können Sie Scope, wie viel des Verzeichnisses durchsucht wird, indem Sie die Suchbasis entsprechend einstellen. In eDirectory ist dies typischerweise in Form von o =. Mit JXplorer können Sie sich anonym mit eDirectory verbinden und nur die IP-Adresse und den Standard-nicht-SSL-Port angeben, wie unten gezeigt.
  • BIND Distinguished Name und Passwort ist der vollständig angesehene Name (FQDN) des Benutzers, den Sie verwenden werden, um eDirectory zu Abfragen. Dieses Konto benötigt keine besonderen Privilegien. E nter das Passwort für dieses Konto. Sie sollten in der Lage sein, dies anonym zu durchsuchen, wie wir es getan haben, um die BaseDN Denken Sie daran, dass der vollständig angesehene Name aus der Nutzung der gesamten Hierarchie aufgebaut ist. In unserem Beispiel wäre das CN = admin, o = Lab.
  • Server-Domain -Präfix (optional) wird auf den Benutzernamen vorgeschrieben und kann nützlich sein, wenn Sie mehrere Authentifizierungs Quellen verwenden. In unserem Beispiel erscheinen die Benutzer in den Traffic Logs wie: mynds\username.
  • Such Intervall die Voreinstellung von 30 Sekunden sollte in Ordnung sein, aber dies kann angepasst werden. Nach der ersten Abfrage, um die Liste aller derzeit eingeloggten Benutzer zu erstellen, suchen nachfolgende Abfragen nur nach Benutzer Einträgen, die seit der letzten Abfrage geändert wurden.

    Es müssen keine anderen Felder geändert werden, da Sie speziell mit eDirectory arbeiten.  Halten Sie den BIND-Port bei 636, mit SSL aktiviert, da eDirectory nicht zulässt, dass authentifizierte LDAP-Abfragen im Klartext gesendet werden.

  • Nachdem Sie die erforderlichen Informationen eingegeben haben, klicken Sie auf Commit, um die Änderungen zu speichern.

    

  • Sehen Sie sich die Agenten-Protokolle an, um zu erkennen, was mit dem Agenten passiert. Gehen Sie zu Datei > Protokolle anzeigen, um eine. txt-Datei zu öffnen.

    Hinweis: Wenn Agenten Protokolle geändert werden müssen, verwenden Sie einen LDAP-Browser, um zu bestimmen, worauf die Felder gesetzt werden sollen:

    

    Scrollen Sie auf den Boden der Textdatei, um die neueste Debug-Ausgabe des Agenten anzuzeigen. Prüfen Sie die Ausgabe unter dem Header mit der Aufschrift "Service wird gestartet". Im folgenden ist ein Beispiel für die Log-Datei zu sehen:

    

    Sehen Sie die Meldung "Connect gelingt auf Server x. x. x. x", wie oben hervorgehoben. Wenn Sie diese Nachricht nicht sehen, müssen Sie Probleme lösen.

    

    Hilfreiche Tipps zur FehlerSuche

    • Fehler 81 im Log, stellen Sie sicher, dass die BIND-Port/SSL-Einstellung nach Bedarf konfiguriert ist.
    • Fehler 93 im Protokoll kann auf einen Kommunikationsfehler hindeuten.  Sie können die falsche Version von eDirectory ausführen, oder die Basis-DN ist nicht korrekt.
    • Um die Anzahl der angemeldeten Informationen zu erhöhen, gehen Sie in das Menü Datei > Debug, um das Level genauer zu setzen (Standard-Level ist Info), und starten Sie dann den Dienst neu (Datei > Neustart-Service).

Hinweis: Diese Textdatei wird nicht dynamisch aktualisiert, also müssen Sie Sie schließen, dann verwenden Sie das Menü, um neue Informationen anzuzeigen .

To Überprüfen Sie die Konfiguration, wählen Sie das Monitor-Symbol, um Benutzer-zu-IP-Mappings anzuzeigen. Die Anzahl der Mappings steigt, da der Agent mehr Informationen vom LDAP-Server liest.

Wenn Sie eine Liste der Benutzer auf diesem Bildschirm sehen, haben Sie den Agent richtig konfiguriert. Gehen Sie nun zur Konfiguration der Firewall, um mit diesem Agenten zu sprechen.

Konfiguration der Firewall, um mit dem User-ID Agent zu sprechen

1. Aus dem Web-UI, wählen Sie das Gerät, dann wählen Sie die BenutzerIdentifikation aus der Liste auf der linken Seite. Unter dem Abschnitt BenutzerIdentifikation klicken Sie auf HinzuFügen. Stellen Sie den Agenten-Typ als User-ID-Agent ein, benennen Sie ihn und füllen Sie die IP-Adresse und den Port aus, den Sie dem Agent zum anhören konfiguriert haben (Standard-Port ist 5007).

   

2. Aktivieren Sie die BenutzerIdentifikation auf der entsprechenden Zone. Wählen Sie das Netzwerk, wählen Sie Zonen aus der Liste auf der linken Seite, dann wählen Sie die Zone, in der der Nutzer Verkehr entsteht. Am unteren Bildschirmrand aktivieren Sie die BenutzerIdentifikation.

   

3. Commit-Änderungen.
4. Um zu bestätigen, dass die Firewall mit dem Agenten kommuniziert, führen Sie den folgenden Befehl aus:
   > Benutzer-UserID -Agent-Statistiken anzeigen
   
5. Um zu bestätigen, dass die Benutzerdatenbank vom Agenten bezogen wurde, führen Sie den folgenden Befehl aus:
   > Benutzer-IP-User-Mapping
   
   der User-IDs-Anzeige unter dem Monitor > Traffic-Log in der Quelle-Benutzer und Ziel-Benutzer-Spalten.

Nun, da die grundlegende User-ID funktioniert, erstellen Sie ein LDAP-Server-Profil, das Sie später für die BenutzerIdentifikation LDAP-Server-Konfiguration verwenden.

1. Aus dem Gerät, unter Server-Profilen, wählen Sie LDAP, dann klicken Sie auf neu.
   
2. Füllen Sie die gleichen Informationen aus, die Sie bei der Einrichtung des User Agent verwendet haben. Vergewissern Sie sich, dass SSL aktiviert ist und der Port auf 636 gesetzt ist. eDirectory erlaubt es nicht, Passwörter im Klartext zu versenden.

Definieren Sie den LDAP-Server, um GruppenInformationen abzurufen

Für den letzten Schritt definieren Sie den LDAP-Server, um die Gruppeninformationen abzurufen.

1. Wählen Sie unter Gerät das Symbol für die BenutzerIdentifikation. Wählen Sie Add, geben Sie dem Server einen Namen und wählen Sie das gerade erstellte ServerProfil aus.
2. Erstellen Sie auf Wunsch ein Gruppen-oder Nutzerprofil. EIN Benutzerprofil schränkt die Benutzer und Gruppen ein, die die Firewall für den Einsatz in der Richtlinie erfährt. Für eDirectory müssen wir keine anderen Felder ausfüllen.
   Die Firewall wird die Objektklasse CN = Gruppe abrufen.
   
3. Übernehmen Sie die Änderungen. Die Gruppeninformationen werden nun aus dem Verzeichnis abgerufen. Es kann eine Weile dauern, die Gruppen-und Benutzerinformationen zu bevölkern.
4. Um zu bestätigen, dass die Firewall mit dem LDAP-Server kommuniziert und dass Gruppeninformationen abgerufen wurden:
   > Benutzer LDAP-Server-Server-
   eDirectory anzeigen

Sobald die Gruppen-und Nutzer Informationen abgerufen sind, können diese Informationen in der Politik verwendet werden.

Um zu bestätigen, gehen Sie auf die Registerkarte Richtlinien, klicken Sie in der Quell-Benutzer-Spalte, und in dem Bildschirm , der erscheint, sollten Gruppen erscheinen.

Mit dem LDAP-Server für die Authentifizierung mit Captive Portal, SSL VPN oder Firewall-GUI-Zugriff

Für Situationen, in denen wir Benutzer tatsächlich um einen Benutzernamen und ein Passwort herausfordern müssen, können wir nun LDAP verwenden.  Es geht um drei grundlegende Schritte:

1. Fügen Sie einen LDAP-Server unter Server-Profilen
2. Fügen Sie einen LDAP-Server unter dem Benutzer-Identifikationsbereich hinzu
3. Erstellen Sie ein Authentifizierungs Profil mit dem definierten LDAP-Server

Im folgenden Beispiel werden wir uns mit LDAP mit aktivem Verzeichnis verbinden.

1. Wählen Sie unter Device die LDAP-Option unter Server-Profilen. Klicken Sie auf neu, um den Server hinzuzufügen. Wie in unserem vorherigen Beispiel, füllen Sie alle notwendigen Informationen.

   Leider können wir die Basis nicht mit der Methode finden, die wir für eDirectory gemacht haben. Wenn Sie jedoch in die Benutzer und Computer des aktiven Verzeichnisses gehen, können Sie die Basis des Verzeichnisses sehen. Im folgenden Beispiel wäre die Basis DC = Swartz, DC = local

   

   Um Bind DN zu finden, suchen Sie den Benutzer, während Sie noch in Benutzern und Computern sind, und erhalten Sie Ergebnisse aus dem Menü Ansicht. Wählen Sie die Spalten auswählen. Fügen Sie den X500 Distinguished Name hinzu. Die Ergebnisse sollen aussehen:

   

   Mit diesen Informationen können wir nun die Konfiguration beenden.

   

   Hinweis: in diesem Beispiel setzen wir es ohne SSL-Verschlüsselung über Port 389. Das Active-Verzeichnis benötigt keine Verschlüsselung und ist standardmäßig nicht verfügbar. Um SSL für LDAP im Active-Verzeichnis zu aktivieren, kann sich die folgende URL als hilfreich erweisen: http://www.linuxmail.info/Enable-LDAP-SSL-Active-Directory/.

2. Fügen Sie den LDAP-Server in den Bereich BenutzerIdentifikation ein. Es gibt ein paar Unterschiede. Für aktives Verzeichnis, geben Sie an, wie Sie Gruppen-und Benutzer Objekte bestimmen. Für aktives Verzeichnis können Sie die Felder wie folgt einstellen:

   sAMAccountName entspricht einem Benutzer-Login-Namen im aktiven Verzeichnis.

   

   Beachten Sie den Gruppen Filter: Beschreibung = AccessGroup. Dies schränkt die Anzahl der Gruppen und Benutzer ein, von denen die Firewall erfährt und die für die Erstellung von Richtlinien zur Verfügung stehen.

   Im folgenden Beispiel werden die Beschreibungs Felder auf den Gruppen gesetzt.  Unten ist ein vor und nach dem Blick auf die Wirkung dieser Einstellung in diesem Szenario abgebildet-Änderungen wurden vor und nach dem Hinzufügen dieser Einstellung vorgenommen.

   

   

   Der Benutzer Filter kann Benutzer einschränken, über die Sie lernen werden. Diese Filter steuern nur die Gruppen, die Sie sehen, oder Benutzer, nach denen Sie suchen können, wenn Sie eine allow-Liste in einem Authentifizierungs Profil setzen oder wenn Sie einen Quell Benutzer oder eine Gruppe in der Politik einstellen.

   Hinweis: Domain-Benutzer ist eine spezielle Gruppe im aktiven Verzeichnis, die Benutzer als Teil des Benutzer Schemas mit dem Attribut Primarygoupid daran gebunden sind.  Mitglieder können nicht durch eine LDAP-Abfrage aufgezählt werden, da das Attribut des Mitglieds nicht für diese Gruppe gesetzt ist, so dass es nicht verwendet werden kann, um alle Benutzernamen zu erlernen.

   Um mehr über den Aufbau von LDAP-Abfragen zu erfahren, lesen Sie die folgenden Seiten:

   http://www.RFC-Editor.org/RFC/RFC2254.txt

   http://www.zytrax.com/books/LDAP/APA/Search.html

   • Gruppen: Name = CN, Objekte: = Gruppe, Mitglieder = Mitglied
   • Benutzer: Name = sAMAccountName, Objekte = Person
3. Der letzte Schritt ist, ein Authentifizierungs Profil mit dem LDAP-Server zu erstellen. Wählen Sie vom Gerät aus das Authentifizierungs Profil-Symbol aus und wählen Sie neu. Geben Sie dem Profil einen Namen, setzen Sie die Authentifizierung auf LDAP, wählen Sie das erstellte Server Profil und setzen Sie das Login-Attribut. Dies bildet den vom Benutzer eingegebenen Namen in ein LDAP-Attribut. Für AD, verwenden Sie sAMAccountName.
4. Bearbeiten Sie die Allow-Liste, um die Gruppen und Benutzer anzugeben, die diese Methode der Authentifizierung verwenden können. 
   Hinweis: Geben Sie jedem Benutzer an, dem der administrative Zugang zugewiesen wird:

   

   Dieses Profil ist nun bereit für den administrativen Zugriff, das Captive-Portal oder den SSL-VPN-Zugriff, wie zuvor für RADIUS oder eine lokale BenutzerDatenbank gesetzt.

   Im folgenden ist ein Screenshot eines SSL-VPN-Profils mit LDAP zu sehen:

   

   Ein Vorteil der Verwendung von LDAP für die Authentifizierung ist, dass für die meisten Organisationen bereits ein Verzeichnisdienst, der LDAP unterstützt, also nichts installiert oder konfiguriert werden muss.  Da wir es dem Benutzer erlauben, zu definieren, wie man sowohl Gruppen als auch Benutzer bestimmt, sollte er mit fast jedem LDAP-kompatiblen Verzeichnis funktionieren.

Weitere Informationen

Übersicht über das LeichtAthletik-ZugriffsProtokoll

Leichtes Verzeichnis-ZugriffsProtokoll (LDAP) ist ein offener Standard für die Bereitstellung von Verzeichnisdiensten über IP-Netzwerke.  LDAP basiert auf X. 500, dem OSI-Verzeichnis-ZugriffsProtokoll, und wurde erstmals in RFC1487 beschrieben.  Die aktuellste Version (Version 3) wird in RFC2251 beschrieben.

Es gibt zwei Hauptkomponenten einer LDAP-Datenbank, die wir verstehen müssen, um Sie für die Authentifizierung, ihre Struktur und ihren Inhalt zu verwenden.

LDAP ist eine hierarchische Datenbankstruktur, die sich für die Definition von Organisationen und deren Strukturen eignet. Es ist unglaublich flexibel ist Design, weil die LDAP-Struktur jeder Organisation unterschiedlich sein wird.

Der Inhalt des Verzeichnisses ist in seinem Schema definiert, das sehr erweiterbar ist. Benutzer können das Datenbankdesign ändern, um Ihren Bedürfnissen gerecht zu werden. Das Verzeichnisschema definiert die möglichen Datenbankobjekte und Attribute, die Sie besitzen können. Wenn man ein Verzeichnis betrachtet, ist es üblich, es als eine Sammlung von Container Objekten (Organisationen, Organisationseinheiten) und Blatt Objekten (Menschen, Computer) zu betrachten.

RFC 2377 definiert das Grundschema für Verzeichnis fähige Anwendungen. Im folgenden finden Sie eine Liste von einigen, die uns wichtig sind:

• RDN: relativ angesehener Name ist der Name eines Objekts ohne Bezug auf seinen Platz im Baum. Es basiert oft auf dem gemeinsamen Namen des Objekts.
• DN: Distinguished Name ist der Name, der ein Objekt definiert, indem es seinen Standort innerhalb der Verzeichnishierarchie angibt. Es wird durch die Verkettung der relativ hervorragenden Namen des Objekts und jeder seiner Vorfahren bis zur Wurzel der Verzeichnis Partition erzeugt. Dieser Name ist über das gesamte Verzeichnis einzigartig
• Base DN: jedes Verzeichnis ist erforderlich, um grundlegende Verzeichnis spezifische Informationen zur Verfügung zu stellen, damit die Kunden auf Sie zugreifen können. Eines dieser Attribute ist die Liste der Basis Namen (DN), auf die Sie auf diesem Server zugreifen können. Typischerweise wird die Basis-DN die verschiedenen Domain-Komponenten des Verzeichnisses sein.
• CN: der GemeinSame Name wird typischerweise verwendet, um Objekte zu verweisen, da es sich um ein Attribut handelt, das alle Blattobjekte besitzen. Der gemeinsame Name muss nur innerhalb des eigenen Containers einzigartig sein (so ist es möglich, zwei Objekte mit dem CN von Bob zu haben, solange Sie sich in getrennten Behältern befinden. Dieses Attribut kann den Login-Namen der Benutzer enthalten.
• oOrganisation ist ein Vielfaches der Wurzel eines Verzeichnisses. Unterhalb der Organisation werden die verschiedenen Organisationseinheiten, Gruppen und Mitglieder sein. eDirectory nutzt dies als Basis seiner Struktur.
• OU: Organisationseinheit wird verwendet, um die Struktur der Organisation zu definieren. EIN Verzeichnis kann aus mehreren Organisationseinheiten auf jeder Ebene des Baumes bestehen.
• DC: Domain-Komponente definiert die Top-Level-Teile des Verzeichnisses und basiert auf dem DNS-Domain-Namen der Organisation. Active Directory verwendet dieses Format.
• Mitglied: Attribut eines Gruppen Objekts, das alle Mitglieder einer Gruppe enthält. Die Firewall verwendet dieses Attribut, um festzustellen, ob sich ein Benutzer in einer statischen Gruppe befindet.

LDAP-Browsern

• Softerra LDAP Administrator ist ein ausgezeichnetes LDAP-Tool für Windows, das unter: > http://www.ldapadministrator.com/> gefunden werden kann.  
  Hinweis: nach der ersten kostenlosen Testphase wird der Kauf dieser Anwendung für die weitere Nutzung benötigt.
• JXplorer ist ein kostenloser Java-basierter Browser, der unter Windows, Mac und Linux arbeitet.  Sie findet sich unter: http://jxplorer.org/.
• LdapBrowser von IIT Engineering ist ein weiterer Kostenloser Java-basierter Browser, der hier zu finden ist: http://www.Brothersoft.com/LDAP-Browser-14779.HTML

1. Besitzer: bswartzw