LDAP authentification benutzen
-
Hallo,
da muss ich auch meinen Finger heben. Authentifizierung über Active Directory wäre genial!Gruß
mg -
Ist hier lediglich Authentifizierung oder auch die Kontaktverwaltung gefragt?
-
Hallo,
ich würde es mal so ausdrücken: Authentifizierung wäre schon mal sehr gut. Als zweiten Schritt die Konkaktverwaltung auch zu haben wäre dann das Absolute!Gruß
mg -
Hallo,
es sollte beides möglich sein.
Zum einen wäre eine Authentifizierung über das AD sehr gut. Zum anderen muss noch die Möglichkeit bestehen, externe Kontakte, die nicht im AD gepflegt werden, in i-doit zu hinterlegen. Die Authorisierungskomponente sollte auch weiterhin bei i-doit liegen.
-
Für uns geht es hauptsächlich um die Authenfizierung.
Ich möchte nicht jedesmal einen neuen Benutzer anlegen, sondern hn einfach in die Gruppe "i-doit" einfügen und gut.
Nichts Neues bis dato?
-
Ist momentan in der Entwicklung. Einen Prototypen kannst du dir mit der Bitte um Feedback hier herunterladen: http://dev.synetics.de/nb/idoit-3621.zip
Installationshinweise gibt es hier: http://doc.i-doit.org/wiki/NightlyBuildsBeim Updaten einfach das LDAP Modul auswählen und unter Module ->LDAP das entsprechende Directory konfigurieren (Ist momentan leider nur mit AD getestet). Dann sollte ein Login möglich sein. Das mit den LDAP Gruppen ist nur noch nicht implementiert. Die i-doit Rechte gruppe für den login definierst du momentan in der Datei src/constants.inc.php unter C__LDAP__GROUP_IDS (Zeile 35). Wenn du dort zB eine 15 einträgst, bekommen die LDAP User beim Login Admin Rechte. Ein Benutzerfreundlicheres Rechteverfahren folgt..
Gruß,
ds -
Moin,
danke für die Links.
Feedback sollst du kriegen: es funktioniert!!
Ein paar Anmerkungen:
- Der "Admin-Benutzer (DN)" klappt so nicht, bei der Verbindung braucht er das Format "benutzer@domäne.endung"
- Bei "nach Benutzern suchen" muss nicht OU, sondern CN stehen.
Ansonsten fällt beim Login auf, das mein seinen richtigen Namen und nicht seinen Benutzernamen angeben muss.
Sollte man vielleicht auf den Windows-Login ändern?Gruß
Michael -
Fließt das mit ins nächste Release?
-
Jep.
-
Hi Michael,
danke für das Feedbak.Das mit dem Login Namen habe ich soweit erweitert, dass man unter LDAP-Directories in der Konfiguration vom AD das Mapping zum i-doit username selbst verändern kann. Somit kannst du für den Windows Login ein sAMAccountName anstatt der CN eintragen. Der Windows Username ist aber nun default für AD.
Der Admin Benutzer sollte eigentlich nur mit einer DN funktionieren, da dort ein LDAP bind (php.net/ldap_bind) ausgeführt wird. Was fuer einen Benutzernamen hast du genau genommen, damit es funktioniert hat? CN oder den Account name?
Mit "nach Benutzern suchen in" ist der Container gemeint, in denen sich die entsprechenden User befinden.
Gruß,
Dennis -
Moin,
für den Bind hab ich administrator@varo.local genommen, dann hat es funktioniert, mit dem DN nicht.
Ja, aber eine OU wird als CN abgebildet. Bei uns ging es nur so: CN=Users,DC=varo,DC=local
Gruß
MS
