I-doit Ldap

bcd

Hallo,

wenn ich mich mit einem LDAP User anmelden will, kommt folgende Fehlermeldung:
Invalid username or password!

Meine Einstellungen:
Idoit: 0.9.6
Ldap Modul Verision 0.9.5 ist installiert und Aktiviert.
Open LDAP Mapping
Username: uid
Groups:   admin
Firstname: givenNAme
Lastname: sn
Mail address: email
Object class:  posixAccounts

Aktiv:  ja
Directory ( Open Ldap
LDAP-Version: 2
IP / Hostname ( localhost
Port ( default: 389
TLS:
Admin Benutzername (DN) ( cn=Manager,dc=ldap-test,dc=de
Passwort ( ******
Passwort Wiederholung ( ***
Timelimit: default: 30
LDAP Parameter für i-doit Login
Nach Benutzern suchen in (OU) (*): ou=ACCOUNTS,dc=ldap-teste,dc=de
Filter: (objectClass=posixAccounts)

Start TEST:
Connection OK!
50 or more objects found in ou=ACCOUNTS,dc=ldap-test,dc=de.

Ldap Debug.txt
2009-04-03 11:46:13 ldap: Found DN: uid=peter,ou=ACCOUNTS,dc=ldap-test,dc=de
2009-04-03 11:46:13 ldap: ** Auth failed. Success
2009-04-03 11:46:13 ldap: *** Unexpected result received from ldap_login() in isys_component_session.
2009-04-03 11:46:13 ldap: *** false

Hat jemand eine Idee?

ds

Das Mapping bei Groups ist nicht richtig (Groups: Admin). Dort muss das Attribut in dem die Gruppen stehen rein - Hab den richtigen Wert für OpenLDAP grad leider nicht im Kopf
Lastname müsste glaub ich auch surname anstatt sn sein

Zu dem Login-Fehler: aus irgendeinem Grund kommt der ldap_bind nicht zu stande. An den Logindaten liegt es aber wohl nicht.
Versuch vielleicht mal LDAP-Version 3

bcd

Lastname ist in meinem Ldap sn, die Member einer Gruppe stehen in einer eigenen ou=GROUPS und cn ist =admin gesetzt und dort gibt es mehrere memberUid:

Beispiel:
ou=GROUPS,dc=ldap-test,dc=de
  cn=admin
  memberUid=USER1
  memberUid=USER2
  memberUid=USER3
  objectClass= posixGroup
  sn=admin

Welche Attribute muss man den jetzt für die Gruppe nehmen?

ds

memberUid musst du nehmen.
Steht darin die komplette DN des Users? oder nur die user id?

bcd

@ds:

memberUid musst du nehmen.
Steht darin die komplette DN des Users? oder nur die user id?

Da steht nur die uid des Users drin.

ds

Wie lautet denn das Attribut des Users, in dem die entsprechende Gruppenzuweisung steht?

bcd

@ds:

Wie lautet denn das Attribut des Users, in dem die entsprechende Gruppenzuweisung steht?

Es gibt eine OU=ACCOUNTS und OU=GROUPS
in OU=ACCOUNTS gibt es eine uid=USER1

dadrin sind die ganzen Attribute des User drin, dort direkt gibt es keine Gruppen Zuweisung.

Dann gibt es die ou=GROUPS
unterhalb gibt es einen cn=admin
in dieser CN sieht es dann wie folgt aus:
ou=GROUPS,dc=ldap-test,dc=de
  cn=admin
  memberUid=USER1
  memberUid=USER2
  memberUid=USER3
  objectClass= posixGroup
  sn=admin

ds

Das sieht mir eher aus wie die Gruppe "admin" (posixGroup).
Du brauchst aber den User und dessen Attribute

bcd

@ds:

Das sieht mir eher aus wie die Gruppe "admin" (posixGroup).
Du brauchst aber den User und dessen Attribute

Lieder funktioniert das noch immer nicht. Mein Ldapsearch String sieht folgendend aus und der User wird auch gefunden:

#ldapsearch -LL -x -D "cn=Manager,dc=ldap-test,dc=de" -w PASSWORD -h localhost -b "ou=ACCOUNTS,dc=ldap-test,dc=de" '(&(uid=USER1)(objectClass=PosixAccount))'

ds

Steht im objectclass mapping PosixAccounts oder PosixAccount ?

bcd

@ds:

Steht im objectclass mapping PosixAccounts oder PosixAccount ?

PosixAccount

datenwerk-it

Hallo, zusammen,
@bcd:

Ldap Debug.txt
2009-04-03 11:46:13 ldap: Found DN: uid=peter,ou=ACCOUNTS,dc=ldap-test,dc=de
2009-04-03 11:46:13 ldap: ** Auth failed. Success
2009-04-03 11:46:13 ldap: *** Unexpected result received from ldap_login() in isys_component_session.
2009-04-03 11:46:13 ldap: *** false

gibt es hierfür schon eine Lösung?
Ich habe das selbe Problem. So verstehe ich das:

Der User benötigt eine 'Liste aller Gruppen' in denen er Mitglied ist. Diese ist dann im Mapping unter 'Groups' einzutragen.

Ich habe aber in der Gruppendefinition eine 'Liste aller User' die in der jew. Gruppe sind. (Also reverse-Logik) Das ist, so wie ich diesen Thread lese, auch das Problem von bcd.

Kann jemand einmal das Mapping erklären, falls ich das falsch verstehe?

Meine Konfig.

• Ubuntu 8.04 (Server, 64 bit) mit OpenLDAP (ebox 1.0 Implementierung)

• I-doIt 0.9.6-1

• Nagios und LDAP-Plugin

datenwerk-it

Ich habe noch ein wenig geforscht. Vielleicht kann ja mal jemand schauen, ob wir das damit nicht hinbekommen.

meine Mappings:

–--------------------------------------
| i-doit               | Open LDAP     |
----------------------------------------
| Username:            | cn            |
| Groups:              | gidNumber     |
| Firstname:           | cn            |
| Lastname:            | sn            |
| Mail address:        | mail          |
| Object class:        | posixAccount  |
----------------------------------------

LDAP-Log beim Login des users 'USER1'

Apr 29 15:27:16 adm001 slapd[20107]: conn=100 fd=18 ACCEPT from IP=127.0.1.1:47703 (IP=0.0.0.0:389)
Apr 29 15:27:16 adm001 slapd[20107]: conn=100 op=0 BIND dn="cn=admin,dc=ebox" method=128
Apr 29 15:27:16 adm001 slapd[20107]: conn=100 op=0 BIND dn="cn=admin,dc=ebox" mech=SIMPLE ssf=0
Apr 29 15:27:16 adm001 slapd[20107]: conn=100 op=0 RESULT tag=97 err=0 text=
Apr 29 15:27:16 adm001 slapd[20107]: conn=100 op=1 SRCH base="ou=Users,dc=ebox" scope=1 deref=0 filter="(&(objectClass=inetOrgPerson)(cn=USER1))"
Apr 29 15:27:16 adm001 slapd[20107]: conn=100 op=1 SRCH attr=gidNumber posixAccount cn sn mail cn
Apr 29 15:27:16 adm001 slapd[20107]: <= bdb_equality_candidates: (cn) not indexed
Apr 29 15:27:16 adm001 slapd[20107]: conn=100 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Apr 29 15:27:16 adm001 slapd[20107]: conn=100 op=2 SRCH base="ou=Users,dc=ebox" scope=1 deref=0 filter="(cn=uid=USER1,ou=users,dc=ebox)"
Apr 29 15:27:16 adm001 slapd[20107]: conn=100 op=2 SRCH attr=cn
Apr 29 15:27:16 adm001 slapd[20107]: <= bdb_equality_candidates: (cn) not indexed
Apr 29 15:27:16 adm001 slapd[20107]: conn=100 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text=
Apr 29 15:27:16 adm001 slapd[20107]: conn=100 op=3 UNBIND
Apr 29 15:27:16 adm001 slapd[20107]: conn=100 fd=18 closed
Apr 29 15:27:16 adm001 slapd[20107]: conn=101 fd=18 ACCEPT from IP=127.0.1.1:47704 (IP=0.0.0.0:389)
Apr 29 15:27:16 adm001 slapd[20107]: conn=101 op=0 BIND dn="cn=admin,dc=ebox" method=128
Apr 29 15:27:16 adm001 slapd[20107]: conn=101 op=0 BIND dn="cn=admin,dc=ebox" mech=SIMPLE ssf=0
Apr 29 15:27:16 adm001 slapd[20107]: conn=101 op=0 RESULT tag=97 err=0 text=
Apr 29 15:27:16 adm001 slapd[20107]: conn=101 op=1 SRCH base="ou=Users,dc=ebox" scope=1 deref=0 filter="(&(objectClass=inetOrgPerson)(cn=USER1))"
Apr 29 15:27:16 adm001 slapd[20107]: conn=101 op=1 SRCH attr=gidNumber posixAccount cn sn mail cn
Apr 29 15:27:16 adm001 slapd[20107]: <= bdb_equality_candidates: (cn) not indexed
Apr 29 15:27:16 adm001 slapd[20107]: conn=101 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Apr 29 15:27:16 adm001 slapd[20107]: conn=101 op=2 SRCH base="ou=Users,dc=ebox" scope=1 deref=0 filter="(cn=uid=USER1,ou=users,dc=ebox)"
Apr 29 15:27:16 adm001 slapd[20107]: conn=101 op=2 SRCH attr=cn
Apr 29 15:27:16 adm001 slapd[20107]: <= bdb_equality_candidates: (cn) not indexed
Apr 29 15:27:16 adm001 slapd[20107]: conn=101 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text=
Apr 29 15:27:16 adm001 slapd[20107]: conn=101 op=3 UNBIND
Apr 29 15:27:16 adm001 slapd[20107]: conn=101 fd=18 closed

Marcus

ds

Ich würde mal gerne wissen, wo bei dir der Filter mit der Suche nach UID= herkommt, wenn du in den Mappings unter username "cn" eingegeben hast.
-> Apr 29 15:27:16 adm001 slapd[20107]: conn=100 op=2 SRCH base="ou=Users,dc=ebox" scope=1 deref=0 filter="(cn=uid=USER1,ou=users,dc=ebox)"

datenwerk-it

Das ist eine spannende Frage. irgendwo hier?

grep "uid" -R src/* | grep -v luid
src/classes/libraries/nusoap/nusoap.php:                // debugging guides.
src/classes/libraries/phpmailer/LICENSE:decision will be guided by the two goals of preserving the free status
src/classes/workflow/dao/list/isys_workflow_dao_list_filter.class.php:                                                                                         $_GET["uid"],
src/classes/workflow/view/isys_workflow_view_list_filter.class.php:             $_POST["f_uid"] = isys_glob_get_param("f_uid");
src/classes/workflow/view/isys_workflow_view_list_filter.class.php:             if (isset($_POST["f_uid"])) {
src/classes/workflow/view/isys_workflow_view_list_filter.class.php:                     $l_user_id = $_POST["f_uid"];
src/classes/workflow/view/isys_workflow_view_tree.class.php:            $l_gets["uid"]                                  = $_SESSION["session_data"]["isys_user_session__isys_person_intern__id"];
src/themes/default/smarty/templates/workflow/filter.tpl:                          <label for="f_uid">[{isys type="lang" ident="LC__CREATOR"}]</label> 
src/themes/default/smarty/templates/workflow/filter.tpl:                             [{isys name="f_uid" type="f_dialog" p_bInfoIconSpacer="0" p_strSelectedID=$g_post.f_uid p_strTable="isys_person_intern" p_bEditMode="1"}]

ds

Nein im source code steht es nicht.
Was gibst du denn als username beim einloggen ein? Nur den Namen?