LDAP Anmeldung

rgarcia

Hey also wollte nur mal mitteilen bei mir Funktioniert was LDAP in Version 0.9.7 anbetrifft alles
Einzigstes was ich etwas blöd finde ist das ich unter Kontakte - LDAP - x nicht die Kontake angezeigt bekomme die er sich aus dem LDAP gezogen hat.

rgarcia

Also nochmal ein kurzes Feedback:

Was mir aufgefallen ist, ist das idoit die User aus dem LDAP irgendwie nicht von selbst synchronisiert.
Die User tauchen erst in der Kontakt Liste auf wenn ich mich versuche als bsp. User3 anzumelden.
Dann jedoch bekomme ich eine Fehlermeldung das ich keine Leserechte hätte und ich diese erst erhalten müsste…
Logge ich mich danach wieder als Admin ein wird User3 in der Konaktliste aufgeführt und ich kann ihn der richtigen Gruppe zuweisen.

ds

Die User werden als interne Kontakte angelegt, sobald sie sich einmal angemeldet haben (Damit verknüpfungen innerhalb der Objekte mit den Usern möglich sind). Hast du das LDAP Gruppen Mapping unter Kontakte -> Gruppen gemacht?

Bzgl der LDAP anzeige unter Kontakte: Das kommt noch, ist nur noch nicht implementiert

rgarcia

jo ehm was genau soll ich den da eingeben ?
nur den Gruppennamen also "idoit" ?

Gibt es eine Möglichkeit das alles Kontakte aus dem LDAP mit idoit synchronisiert werden ohne das ich der user vorher anmelden muss… ist nämlich nicht geplant bei uns das der User sich dort anmelden soll.

ds

Einen Sync gibt es noch nicht. Wird auch demnächst kommen.

Dort muss der Gruppenname im AD rein. Also angenommen rgarcia ist im AD in Gruppe IT_Admins, muss im i-doit bei der Gruppe "admin" IT_Admins rein

rgarcia

habe ich eben probiert aber irgendwie funzt das nicht, habe die gruppe idoit bei editors eingepflegt. Beim Login versuch bekomme ich leider noch immer den Hinweis das ich zu wenig Rechte hätte.

ds

Du musst den User löschen vor dem Login die Gruppen werden nicht synchronisiert (sync kommt noch)

rgarcia

Das habe ich jetzt leider nicht ganz verstanden.

Also ich soll den User der aus dem LDAP user erstellt worden ist löschen so und was soll ich mit der gruppe machen??

tesso

Bei mir funktioniert die LDAP-Anmeldung auch noch nicht.
Debug sagt folgendes:

2009-05-30 10:54:02 ldap: Testing connection to 192.168.200.2:389 (CN=Administrator,cn=Users,DC=ek17,DC=local)
2009-05-30 10:54:02 ldap: Connected to 192.168.200.2
2009-05-30 10:54:02 ldap: Connection successfull.
2009-05-30 10:54:02 ldap: Found 16 object(s) in OU=SBSUsers,OU=Users,OU=MyBusiness,DC=ek17,DC=local.
2009-05-30 10:54:26 ldap: Creating new ldap-library connection to: 192.168.200.2:389, user: CN=Administrator,cn=Users,DC=ek17,DC=local
2009-05-30 10:54:26 ldap: Connection failed. (Invalid credentials)

ds

Invalid credentials = Passwort falsch eingegeben

tesso

Das Passwort ist definitv richtig eingegeben, aber es enthält Sonderzeichen. Kann es sein, daß bestimmte Sonderzeichen einen Fehler auslösen? Das Passwort enthält ein "&"

ds

Tatsächlich, ein Login mit Sonderzeichen ist allgemein nicht möglich. Wir werden uns drum kümmern
Danke für den Hinweis

mg

Also,
  hier mal ein Versuch das Ganze zusammenzufassen, das Topic ist mittlerweile etwas unübersichtlich:

1. LDAP-Aktivierung in den Modulen dürfte ja klar sein
2. in Kontakte - intern - Gruppen bei den jeweiligen i-doit-Gruppen die entsprechende LDAP-Gruppe hinterlegen, z.B. bei der i-doit-Gruppe 'Admin' die AD-Gruppe 'idoit_admin' zuordnen (Feld: LDAP-Gruppe (Mapping))
3. im AD den/die Benutzer in die eben hinterlegte(n) Gruppe(n) aufnehmen (bei meinen Tests lagen sowohl die Gruppe als auch der Benutzer in der selben OU im AD)
4. mit dem im AD angelegten Benutzer in i-doit anmelden, die Benutzer sollten dann in den Kontakten sichtbar sein und automatisch der entsprechenden i-doit-Gruppe zugeordnet werden

Genau Punkt 4 fkt. aber noch nicht komplett. Der Benutzer wird zwar angelegt, die Gruppenzuordnung muss aber nach wie vor (getestet mit Version 0.9.7) manuell erfolgen. Erst dann ist der Login möglich.

Was stimmt nicht an der Vorgehensweise?

Gruß
Martin

tesso

Bei mir funktioniert es immer noch nicht.
LDAP eingerichtet. LDAP Test ok
Gruppenmapping eingerichtet

Melde ich mich an (oder auch andere) kommt immer "Invalid username or password!"
Im ldap-debug steht:```
2009-06-17 14:05:49 ldap: Found DN: CN=Ralf Tessmann,OU=SBSUsers,OU=Users,OU=MyB
usiness,DC=ek17,DC=local. Trying to login with it.
2009-06-17 14:05:49 ldap: Auth successfull (CN=Ralf Tessmann,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=ek17,DC=local).

Es werden auch keine Benutzer angelegt, denen ich dann Rechte zuweisen könnte.

ds

mg, tesso: Eure vorgehensweise ist richtig, ich kann allerdings das Problem nicht nachvollziehen, bei mir werden die Gruppen synchronisiert. Habt ihr auch beide auf die neuste Version geupdated und einen Haken beim Update für das LDAP-Modul gemacht?

Mein funktionierendes LDAP Log sieht folgendermaßen aus (Active Directory, User: i-doit, AD Gruppe: idoit_admin, i-doit Gruppe: Admin):

2009-06-26 13:48:20 ldap: Found 1 configured LDAP Servers. Iterating..
2009-06-26 13:48:20 ldap: 1.
2009-06-26 13:48:20 ldap: Creating new ldap-library connection to: OU=XXX
2009-06-26 13:48:20 ldap: Connected to OU=XXX
2009-06-26 13:48:20 ldap: Trying to auth with DN: CN=i-doit
2009-06-26 13:48:20 ldap: CN=i-doit / i-doit authenticated.

2009-06-26 13:48:20 ldap: Getting user using filter: (&(objectClass=user)(SAMAccountName=i-doit)) in search-path: OU=XXX
2009-06-26 13:48:20 ldap: Getting groups of CN=i-doit
2009-06-26 13:48:20 ldap: Servertype: C__LDAP__AD

2009-06-26 13:48:20 ldap: search() CN=idoit_reader,OU=idoit-groups,OU=Groups (Filter: (objectclass=*)): 1
2009-06-26 13:48:20 ldap: Querying LDAP group: idoit_reader
2009-06-26 13:48:20 ldap: Group pendant for "idoit_reader" not found. Edit LDAP-Mapping in group settings if you want to use this as a right group.

2009-06-26 13:48:20 ldap: search() CN=idoit_admin,OU=idoit-groups (Filter: (objectclass=*)): 1
2009-06-26 13:48:20 ldap: Querying LDAP group: idoit_admin
2009-06-26 13:48:20 ldap:  ** Found group "idoit_admin" pendant in i-doit.
2009-06-26 13:48:20 ldap: Syncing groups..
2009-06-26 13:48:20 ldap: Attached user(36) to group: Admin

mg

Hallo,
  ich nutze die 0.9.7. Hier der Ablauf incl. Einträge aus der ldap_debug.txt (Active Directory, User: hugo, AD Gruppe: idoit_admin, i-doit Gruppe: Admin):

Beim 1. Login-Versuch erhalte ich folgende Fehlermeldung:

isys_exception_database : Retrieve failed. Database component not loaded! (Extended Information: NULL)

dazu in ldap_debug.txt:

2009-06-26 16:12:45 ldap: Creating new ldap-library connection to: test.local.de:389, user: hugo@local.de
2009-06-26 16:12:45 ldap: Connected to test.local.de
2009-06-26 16:12:45 ldap: Searching for username: mti
2009-06-26 16:12:45 ldap: Using filter: (&(objectClass=user)(sAMAccountName=mti)) in search-path: OU=local,DC=de
2009-06-26 16:12:45 ldap: Found DN: CN=mti,OU=local,DC=de
2009-06-26 16:12:45 ldap: Auth successfull (CN=mti,OU=local,DC=de).
2009-06-26 16:12:45 ldap: User account created. User-ID: 26
2009-06-26 16:12:45 ldap: Getting groups of CN=mti,OU=local,DC=de
2009-06-26 16:12:45 ldap: Servertype: C__LDAP__AD
2009-06-26 16:12:45 ldap: read(). Base: CN=idoit_admin,OU=local,DC=de, Filter: (cn=*)
2009-06-26 16:12:45 ldap: Querying found group:  :: 

Beim 2. Login-Versuch kommt folgender Fehler:

i-doit system error:
You need at least reading rights for logging in to an i-doit mandator.

Contact your system administrator for adding your user into a corresponsing right-group.

dazu in ldap_debug.txt:

2009-06-26 16:14:31 ldap: Creating new ldap-library connection to: test.local.de:389, user: hugo@local.de
2009-06-26 16:14:31 ldap: Connected to test.local.de
2009-06-26 16:14:31 ldap: Trying auth with DN: CN=mti,OU=local,DC=de
2009-06-26 16:14:31 ldap: CN=mti,OU=local,DC=de / mti authenticated.
2009-06-26 16:14:31 ldap: Creating new ldap-library connection to: test.local.de:389, user: hugo@local.de
2009-06-26 16:14:31 ldap: Connected to test.local.de
2009-06-26 16:14:31 ldap: Trying auth with DN: CN=mti,OU=local,DC=de
2009-06-26 16:14:31 ldap: CN=mti,OU=local,DC=de / mti authenticated.

Wenn ich Dein (ds) ldap_debug.txt ansehe geht da etwas mehr ab …

Gruß
mg

ds

Installier mal die 0.9.7-1

mg

Yep, mit der Version 0.9.7-1 funktioniert es wie erwartet.

Besten Dank!

Gruß
mg

tsuess

Hallo,

gibt es dieses Problem mit den Sonderzeichen noch ? - Ich habe mit Version 0.9.9-3 getestet, da geht es nicht.
Wird an der LDAP-Integration noch weiter gearbeitet ? Ich persönlich empfinde diese als sehr wichtig - für mich ist das ein K.O Kriterium für die Auswahl/Einsatz von Software in unserem Unternehmen.

Mfg.
Thomas Süß

@ds:

Tatsächlich, ein Login mit Sonderzeichen ist allgemein nicht möglich. Wir werden uns drum kümmern
Danke für den Hinweis

ds

Das Problem ist zur nächsten Version behoben