Community
    • Categories
    • Recent
    • Popular
    • Users
    • Search
    • Register
    • Login

    Probleme mit Gruppenzuweisung beim LDAP Sync nach wechsel auf i-doit Pro.

    Scheduled Pinned Locked Moved Betrieb
    2 Posts 2 Posters 294 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S Offline
      sj
      last edited by

      Hallo zusammen,

      ich habe vor kurzem auf i-doit Pro 20 gewechselt und habe seit dem ein sehr merkwürdiges verhalten was für mich auch ein Sicherheitsproblem darstellt.

      Ich habe früher i-doit open verwendet und damit synchronisiere meine User und Gruppen aus dem AD in i-doit, das hat auch immer gut funktioniert und die Gruppen wurden korrekt übernommen.

      Jetzt habe ich auf i-doit Pro gewechselt und beim prüfen der Rechte eines Users ist mir aufgefallen das der plötzlich Admin Rechte hat. Nach etwas nachforschen ist mir aufgefallen das der i-doit Sync alle AD User in nahzu jede Gruppe platziert, dazu gehören auch AD Gruppen in denen der User gar nicht enthalten ist oder auch der i-doit Admin Gruppe. Im Log vom LDAP Sync kann ich feststellen das beim "Attaching" die User nahezu allen Gruppen hinzugefügt werden.

      Ich frag mich was hier schief läuft, sind es mein LDAP Sync Settings oder ist i-doit 1.19 + 20 defekt?

      Im i-doit habe ich beim LDAP Server zwei Filter
      ObjectClass = user (an letzten anhängen markiert)
      ObjectClass = group (An letzten Filter anhängen markiert)

      Meine Datei für den Sync ini sieht folgend aus:

      [commandOptions]
user=XXX
password=XXX
tenantId=1

[additional]
import_rooms=false
defaultCompany=''
deletedUsersBehaviour=archive
disabledUsersBehaviour=disable_login
; LDAP Attributes are individual. This default configuration is prepared for Active Directory:
attributes[department]=department
attributes[phone_company]=telephoneNumber
attributes[phone_home]=homephone
attributes[phone_mobile]=mobile
attributes[fax]=facsimileTelephoneNumber
attributes[description]=info
attributes[personnel_number]=initials
attributes[organization]=company
attributes[location]=physicalDeliveryOfficeName
attributes[salutation]=title
attributes[street]=streetAddress
attributes[city]=l
attributes[zip_code]=postalCode
attributes[function]=title
attributes[service_designation]=title
attributes[pager]=pager
;Kategorieerweiterung Personen
attributes[custom_1]=objectSid
attributes[custom_2]=sn
attributes[custom_3]=homePhone
attributes[custom_4]=mobile
attributes[custom_5]=info
attributes[custom_6]=manager
attributes[custom_7]=company
attributes[custom_8]=department
autoReactivateUsers=false
ignoreUsersWithAttributes[]="sn"
ignoreFunction=empty
syncEmptyAttributes=true
      1 Reply Last reply Reply Quote 0
      • cBorisaC Offline
        cBorisa
        last edited by

        Es war ein bekantes Bug und im I-DoIT 21 schon korregiert

        1 Reply Last reply Reply Quote 0
        • First post
          Last post