LDAP Anmeldung

rgarcia

Das habe ich jetzt leider nicht ganz verstanden.

Also ich soll den User der aus dem LDAP user erstellt worden ist löschen so und was soll ich mit der gruppe machen??

tesso

Bei mir funktioniert die LDAP-Anmeldung auch noch nicht.
Debug sagt folgendes:

2009-05-30 10:54:02 ldap: Testing connection to 192.168.200.2:389 (CN=Administrator,cn=Users,DC=ek17,DC=local)
2009-05-30 10:54:02 ldap: Connected to 192.168.200.2
2009-05-30 10:54:02 ldap: Connection successfull.
2009-05-30 10:54:02 ldap: Found 16 object(s) in OU=SBSUsers,OU=Users,OU=MyBusiness,DC=ek17,DC=local.
2009-05-30 10:54:26 ldap: Creating new ldap-library connection to: 192.168.200.2:389, user: CN=Administrator,cn=Users,DC=ek17,DC=local
2009-05-30 10:54:26 ldap: Connection failed. (Invalid credentials)

ds

Invalid credentials = Passwort falsch eingegeben

tesso

Das Passwort ist definitv richtig eingegeben, aber es enthält Sonderzeichen. Kann es sein, daß bestimmte Sonderzeichen einen Fehler auslösen? Das Passwort enthält ein "&"

ds

Tatsächlich, ein Login mit Sonderzeichen ist allgemein nicht möglich. Wir werden uns drum kümmern
Danke für den Hinweis

mg

Also,
hier mal ein Versuch das Ganze zusammenzufassen, das Topic ist mittlerweile etwas unübersichtlich:

1. LDAP-Aktivierung in den Modulen dürfte ja klar sein
2. in Kontakte - intern - Gruppen bei den jeweiligen i-doit-Gruppen die entsprechende LDAP-Gruppe hinterlegen, z.B. bei der i-doit-Gruppe 'Admin' die AD-Gruppe 'idoit_admin' zuordnen (Feld: LDAP-Gruppe (Mapping))
3. im AD den/die Benutzer in die eben hinterlegte(n) Gruppe(n) aufnehmen (bei meinen Tests lagen sowohl die Gruppe als auch der Benutzer in der selben OU im AD)
4. mit dem im AD angelegten Benutzer in i-doit anmelden, die Benutzer sollten dann in den Kontakten sichtbar sein und automatisch der entsprechenden i-doit-Gruppe zugeordnet werden

Genau Punkt 4 fkt. aber noch nicht komplett. Der Benutzer wird zwar angelegt, die Gruppenzuordnung muss aber nach wie vor (getestet mit Version 0.9.7) manuell erfolgen. Erst dann ist der Login möglich.

Was stimmt nicht an der Vorgehensweise?

Gruß
Martin

tesso

Bei mir funktioniert es immer noch nicht.
LDAP eingerichtet. LDAP Test ok
Gruppenmapping eingerichtet

Melde ich mich an (oder auch andere) kommt immer "Invalid username or password!"
Im ldap-debug steht:```
2009-06-17 14:05:49 ldap: Found DN: CN=Ralf Tessmann,OU=SBSUsers,OU=Users,OU=MyB
usiness,DC=ek17,DC=local. Trying to login with it.
2009-06-17 14:05:49 ldap: Auth successfull (CN=Ralf Tessmann,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=ek17,DC=local).


Es werden auch keine Benutzer angelegt, denen ich dann Rechte zuweisen könnte.

ds

mg, tesso: Eure vorgehensweise ist richtig, ich kann allerdings das Problem nicht nachvollziehen, bei mir werden die Gruppen synchronisiert. Habt ihr auch beide auf die neuste Version geupdated und einen Haken beim Update für das LDAP-Modul gemacht?

Mein funktionierendes LDAP Log sieht folgendermaßen aus (Active Directory, User: i-doit, AD Gruppe: idoit_admin, i-doit Gruppe: Admin):

2009-06-26 13:48:20 ldap: Found 1 configured LDAP Servers. Iterating..
2009-06-26 13:48:20 ldap: 1.
2009-06-26 13:48:20 ldap: Creating new ldap-library connection to: OU=XXX
2009-06-26 13:48:20 ldap: Connected to OU=XXX
2009-06-26 13:48:20 ldap: Trying to auth with DN: CN=i-doit
2009-06-26 13:48:20 ldap: CN=i-doit / i-doit authenticated.

2009-06-26 13:48:20 ldap: Getting user using filter: (&(objectClass=user)(SAMAccountName=i-doit)) in search-path: OU=XXX
2009-06-26 13:48:20 ldap: Getting groups of CN=i-doit
2009-06-26 13:48:20 ldap: Servertype: C__LDAP__AD

2009-06-26 13:48:20 ldap: search() CN=idoit_reader,OU=idoit-groups,OU=Groups (Filter: (objectclass=*)): 1
2009-06-26 13:48:20 ldap: Querying LDAP group: idoit_reader
2009-06-26 13:48:20 ldap: Group pendant for "idoit_reader" not found. Edit LDAP-Mapping in group settings if you want to use this as a right group.

2009-06-26 13:48:20 ldap: search() CN=idoit_admin,OU=idoit-groups (Filter: (objectclass=*)): 1
2009-06-26 13:48:20 ldap: Querying LDAP group: idoit_admin
2009-06-26 13:48:20 ldap: ** Found group "idoit_admin" pendant in i-doit.
2009-06-26 13:48:20 ldap: Syncing groups..
2009-06-26 13:48:20 ldap: Attached user(36) to group: Admin

mg

Hallo,
ich nutze die 0.9.7. Hier der Ablauf incl. Einträge aus der ldap_debug.txt (Active Directory, User: hugo, AD Gruppe: idoit_admin, i-doit Gruppe: Admin):

Beim 1. Login-Versuch erhalte ich folgende Fehlermeldung:

isys_exception_database : Retrieve failed. Database component not loaded! (Extended Information: NULL)

dazu in ldap_debug.txt:

2009-06-26 16:12:45 ldap: Creating new ldap-library connection to: test.local.de:389, user: hugo@local.de
2009-06-26 16:12:45 ldap: Connected to test.local.de
2009-06-26 16:12:45 ldap: Searching for username: mti
2009-06-26 16:12:45 ldap: Using filter: (&(objectClass=user)(sAMAccountName=mti)) in search-path: OU=local,DC=de
2009-06-26 16:12:45 ldap: Found DN: CN=mti,OU=local,DC=de
2009-06-26 16:12:45 ldap: Auth successfull (CN=mti,OU=local,DC=de).
2009-06-26 16:12:45 ldap: User account created. User-ID: 26
2009-06-26 16:12:45 ldap: Getting groups of CN=mti,OU=local,DC=de
2009-06-26 16:12:45 ldap: Servertype: C__LDAP__AD
2009-06-26 16:12:45 ldap: read(). Base: CN=idoit_admin,OU=local,DC=de, Filter: (cn=*)
2009-06-26 16:12:45 ldap: Querying found group:  ::

Beim 2. Login-Versuch kommt folgender Fehler:

i-doit system error:
You need at least reading rights for logging in to an i-doit mandator.

Contact your system administrator for adding your user into a corresponsing right-group.

dazu in ldap_debug.txt:

2009-06-26 16:14:31 ldap: Creating new ldap-library connection to: test.local.de:389, user: hugo@local.de
2009-06-26 16:14:31 ldap: Connected to test.local.de
2009-06-26 16:14:31 ldap: Trying auth with DN: CN=mti,OU=local,DC=de
2009-06-26 16:14:31 ldap: CN=mti,OU=local,DC=de / mti authenticated.
2009-06-26 16:14:31 ldap: Creating new ldap-library connection to: test.local.de:389, user: hugo@local.de
2009-06-26 16:14:31 ldap: Connected to test.local.de
2009-06-26 16:14:31 ldap: Trying auth with DN: CN=mti,OU=local,DC=de
2009-06-26 16:14:31 ldap: CN=mti,OU=local,DC=de / mti authenticated.

Wenn ich Dein (ds) ldap_debug.txt ansehe geht da etwas mehr ab …

Gruß
mg

ds

Installier mal die 0.9.7-1

mg

Yep, mit der Version 0.9.7-1 funktioniert es wie erwartet.

Besten Dank!

Gruß
mg

tsuess

Hallo,

gibt es dieses Problem mit den Sonderzeichen noch ? - Ich habe mit Version 0.9.9-3 getestet, da geht es nicht.
Wird an der LDAP-Integration noch weiter gearbeitet ? Ich persönlich empfinde diese als sehr wichtig - für mich ist das ein K.O Kriterium für die Auswahl/Einsatz von Software in unserem Unternehmen.

Mfg.
Thomas Süß

@ds:

Tatsächlich, ein Login mit Sonderzeichen ist allgemein nicht möglich. Wir werden uns drum kümmern
Danke für den Hinweis

ds

Das Problem ist zur nächsten Version behoben

tsuess

Ldap Version i-doit - 0.9.9-3 vs 0.9.9-4

Gab es zwischen beiden Versionen Änderungen am Ldap-Modul/Schnittstelle ?

Folgendes "Phänomen" habe ich hier:
Ich habe auf einem Linux-Server (Ubuntu-8.04 LTS) beide i-doit Versionen installiert (die 0.9.9-4 zur Evaluierung), mit der 0.9.9.-3 habe ich das Login über LDAP Konfiguriert, das funktioniert, ebenfalls der Import der aus dem Active-Directory ausgelesenen Benutzer.

In Version 0.9.9.4 funktioniert der Login per LDAP nicht, trotz genau gleicher Konfiguration. Melde ich mich erstmalig peer LDAP an, wechselt das Loginfenster (also ich kann nun den Mandanten auswählen) - was ja heist das bis dahin alles ok ist, klicke ich auf weiter erscheint "Invalid Passwort" - bei weiteren Anmeldeversuchen erscheint sofort "Invalid username or password" - was nicht stimmt, in Version 0.9.9.3 funktioniert es ja. Im LDAP-Debug Log sehe ich folgendes:

Hier erscheint sofort die Fehlermeldung: "Invalid Passwort"

administrator@kisa-intranet:/var/www/i-doitos$ sudo mc
Datei: ldap_debug.txt Spalte 0 104849 Bytes 96%
2011-02-01 10:49:07 ldap: Creating new ldap-library connection to: leipzig-dc1.leipzig.kisa.local:389, user: Administrator
2011-02-01 10:49:09 ldap: Connected to leipzig-dc1.leipzig.kisa.local
2011-02-01 10:49:09 ldap: Trying to auth with DN: CN=Süß, Thomas,OU=Systemtechnik-DD,OU=Kompetenzcenter,OU=_Benutzer,DC=dresden,DC=kisa,
DC=local
2011-02-01 10:49:09 ldap: CN=Süß, Thomas,OU=Systemtechnik-DD,OU=Kompetenzcenter,OU=_Benutzer,DC=dresden,DC=kisa,DC=local / Suess auth fa
iled. LDAP-Result: Invalid credentials

Die erscheint nachdem der User in i-doit gelöscht/gepurgt wurde….

2011-02-01 10:49:10 ldap: ----------------------------------------------------------------------------------------------
2011-02-01 10:49:10 ldap: Creating new ldap-library connection to: dresden-dc3.dresden.kisa.local:389, user: administrator
2011-02-01 10:49:10 ldap: Connected to dresden-dc3.dresden.kisa.local
2011-02-01 10:49:10 ldap: Searching for username: Suess
2011-02-01 10:49:10 ldap: Getting user(s) using filter: (&(objectClass=user)(sAMAccountName=Suess)) in search-path: OU=Kompetenzcenter,O
U=_Benutzer,DC=dresden,DC=kisa,DC=local
2011-02-01 10:49:10 ldap: Found DN: CN=Süß, Thomas,OU=Systemtechnik-DD,OU=Kompetenzcenter,OU=_Benutzer,DC=dresden,DC=kisa,DC=local. Try
ing to login with it.
2011-02-01 10:49:10 ldap: Auth successfull (CN=Süß, Thomas,OU=Systemtechnik-DD,OU=Kompetenzcenter,OU=_Benutzer,DC=dresden,DC=kisa,DC=lo
cal).

Ich vermute das in der aktuellen Version das auslesen der Gruppen defekt ist, die Konfiguration ist in beiden Versionen komplett Identisch - wie gesagt 0.9.9.3 funktioniert - 0.9.9.4 nicht....

Einlesen der Benutzer aus dem Active Directory mittels "sudo php /var/www/idoit/controller.php -v -m ldap sync" funktioniert in beiden Versionen problemlos.

Mit freundlichen Grüßen

Thomas Süß
Systemtechniker Kompetenz-Center Systemtechnik
KISA - Kommunale Informationsverarbeitung Sachsen
Geschäftsstelle Dresden-Blasewitz
Käthe-Kollwitz-Ufer 88, 01309 Dresden
TEL: 0351 6569411-612
TEL: 0151 55038-367
FAX: 0351 6569411-1102
E-Mail: thomas.suess@kisa.it
Internet: www.kisa.it

ds

Es könnte an dem Umlaut im Namen liegen. Ist im Passwort auch ein Umlaut enthalten?

tsuess

Der Windows Logon Name ist "suess" - damit funktioniert es in Version 0.9.9-3 - Im Passwort ist tatsächlich ein "!" enthalten, ich habe daraufhin einen Benutzer "idoittest" angelegt - PW "047Idoit" - dann bekomme ich im LDAP ein "Invalid Creditials" - also daran liegt es nicht (leider)….

Gruss
Thomas

Edit:
Im LDAP-Debug Log bekomme ich folgendes:

2011-02-01 11:20:39 ldap: LDAP Module launched for mandator: idoit_data
2011-02-01 11:20:39 ldap: Found 5 configured LDAP Servers.
2011-02-01 11:20:39 ldap: 1: dresden-dc3.dresden.kisa.local (OU=Kompetenzcenter,OU=_Benutzer,DC=dresden,DC=kisa,DC=local)
2011-02-01 11:20:39 ldap: ----------------------------------------------------------------------------------------------
2011-02-01 11:20:39 ldap: Creating new ldap-library connection to: dresden-dc3.dresden.kisa.local:389, user: administrator
2011-02-01 11:20:39 ldap: Connected to dresden-dc3.dresden.kisa.local
2011-02-01 11:20:39 ldap: Searching for username: idoittest
2011-02-01 11:20:39 ldap: Getting user(s) using filter: (&(objectClass=user)(sAMAccountName=idoittest)) in search-path: OU=Kompetenzcenter,OU=_Benutzer
,DC=dresden,DC=kisa,DC=local
2011-02-01 11:20:39 ldap: Found DN: CN=Tester, Max,OU=Systemtechnik-DD,OU=Kompetenzcenter,OU=_Benutzer,DC=dresden,DC=kisa,DC=local. Trying to login wi
th it.
2011-02-01 11:20:39 ldap: Auth successfull (CN=Tester, Max,OU=Systemtechnik-DD,OU=Kompetenzcenter,OU=_Benutzer,DC=dresden,DC=kisa,DC=local).
2011-02-01 11:20:39 ldap: User account created. User-ID: 124
2011-02-01 11:20:39 ldap: isys_exception_database : Query error: 'INSERT INTO isys_person_2_group SET isys_person_2_group__isys_obj__id__person = '124'
, isys_person_2_group__isys_obj__id__group = '14';':
Cannot add or update a child row: a foreign key constraint fails (idoit_data/isys_person_2_group, CONSTRAINT isys_person_2_group_ibfk_1 FOREIGN KEY
(isys_person_2_group__isys_obj__id__person) REFERENCES isys_obj (isys_obj__id) ON DELETE CASCADE ON )

Hat jemand eine Idee dazu ? - Gibt es eine Möglichkeit den LDAP-Softwarestand/Module von 0.9.9.3 ind 0.9.9.4 zu kopieren (auch wenn das nur ein Workaround ist).

@ds:

Es könnte an dem Umlaut im Namen liegen. Ist im Passwort auch ein Umlaut enthalten?

tsuess

Hat jemand eine Idee dazu ? - wie gesagt, die LDAP-Sache ist wichtig, die Integration ins AD ist ein wichtiges Kriterium für oder gegen die Anschaffung einer Software. Natürlich geht es auch ohne, aber es ist eben auch schön sich nicht 200 verschiedene Passwörter merken zu müssen. Ansonsten macht i-doit einen guten Eindruck !

Gruß,
Thomas

tsuess

Push - auch wenn ich das ungern machen. Gehen wir anders an das "Problem" hat jemand mit Version 0.9.9-4 eine Anmeldung über LDAP gegen das Active-Directory eines Windows 2003 Servers hinbekommen und kann sich hier mit mir austauschen ?

Ich poste hier im Laufe des Tages meine Konfiguration nochmal…

Thomas

akirchner

Wir haben die Version 0.9.9-4 und lassen gegen einen Windows Server 2008 authentifizieren. In der Konfig ist nichts Magisches. Welchen Teil soll ich mal posten?

ds

Es koennte sein das du nicht den aktuellsten Stand des LDAP Moduls hast, ladt dir mal die 0.9.9-4 Installationsversion herunter und kopier die Datei src/classes/modules/isys_module_ldap.class.php dort heraus und ersetze sie mit der Datei in deiner Installation