LDAP authentification benutzen

jocki

Ist hier lediglich Authentifizierung oder auch die Kontaktverwaltung gefragt?

mg

Hallo,
  ich würde es mal so ausdrücken: Authentifizierung wäre schon mal sehr gut. Als zweiten Schritt die Konkaktverwaltung auch zu haben wäre dann das Absolute!

Gruß
mg

marco.appoldt

Hallo,

es sollte beides möglich sein.

Zum einen wäre eine Authentifizierung über das AD sehr gut. Zum anderen muss noch die Möglichkeit bestehen, externe Kontakte, die nicht im AD gepflegt werden, in i-doit zu hinterlegen. Die Authorisierungskomponente sollte auch weiterhin bei i-doit liegen.

m.schuda

Für uns geht es hauptsächlich um die Authenfizierung.

Ich möchte nicht jedesmal einen neuen Benutzer anlegen, sondern hn einfach in die Gruppe "i-doit" einfügen und gut.

Nichts Neues bis dato?

ds

Ist momentan in der Entwicklung. Einen Prototypen kannst du dir mit der Bitte um Feedback hier herunterladen: http://dev.synetics.de/nb/idoit-3621.zip
Installationshinweise gibt es hier: http://doc.i-doit.org/wiki/NightlyBuilds

Beim Updaten einfach das LDAP Modul auswählen und unter Module ->LDAP das entsprechende Directory konfigurieren (Ist momentan leider nur mit AD getestet). Dann sollte ein Login möglich sein. Das mit den LDAP Gruppen ist nur noch nicht implementiert. Die i-doit Rechte gruppe für den login definierst du momentan in der Datei src/constants.inc.php unter C__LDAP__GROUP_IDS (Zeile 35). Wenn du dort zB eine 15 einträgst, bekommen die LDAP User beim Login Admin Rechte. Ein Benutzerfreundlicheres Rechteverfahren folgt..

Gruß,
ds

m.schuda

Moin,

danke für die Links.

Feedback sollst du kriegen: es funktioniert!!

Ein paar Anmerkungen:

• Der "Admin-Benutzer (DN)" klappt so nicht, bei der Verbindung braucht er das Format "benutzer@domäne.endung"
• Bei "nach Benutzern suchen" muss nicht OU, sondern CN stehen.

Ansonsten fällt beim Login auf, das mein seinen richtigen Namen und nicht seinen Benutzernamen angeben muss.
Sollte man vielleicht auf den Windows-Login ändern?

Gruß
Michael

marco.appoldt

Fließt das mit ins nächste Release?

ds

Jep.

ds

Hi Michael,
danke für das Feedbak.

Das mit dem Login Namen habe ich soweit erweitert, dass man unter LDAP-Directories in der Konfiguration vom AD das Mapping zum i-doit username selbst verändern kann. Somit kannst du für den Windows Login ein sAMAccountName anstatt der CN eintragen. Der Windows Username ist aber nun default für AD.

Der Admin Benutzer sollte eigentlich nur mit einer DN funktionieren, da dort ein LDAP bind (php.net/ldap_bind) ausgeführt wird. Was fuer einen Benutzernamen hast du genau genommen, damit es funktioniert hat? CN oder den Account name?

Mit "nach Benutzern suchen in" ist der Container gemeint, in denen sich die entsprechenden User befinden.

Gruß,
Dennis

m.schuda

Moin,

für den Bind hab ich administrator@varo.local genommen, dann hat es funktioniert, mit dem DN nicht.

Ja, aber eine OU wird als CN abgebildet. Bei uns ging es nur so: CN=Users,DC=varo,DC=local

Gruß
MS