Community
    • Categories
    • Recent
    • Popular
    • Users
    • Search
    • Register
    • Login

    LDAP-Sync und User-Zugriff beschränken/verweigern

    Scheduled Pinned Locked Moved
    Betrieb
    3
    4
    857
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      sosswald
      last edited by

      Hallo zusammen,

      ich habe eine AD-Verbindung samt Sync eingerichtet und diese funktioniert auch soweit (1 OU mit 31 Usern). Von diesen 31 sollen sich allerdings nur 3 User bei idoit anmelden können. Die anderen 28 sollen nur dem System zur Verfügung stehen, um die Kontaktzuweisung in Räumen etc. abbilden zu können.

      Meine bisherigen Versuche, das irgendwie abzubilden, schlugen alle insofern fehl, als dass sich alle 31 User anmelden konnten (3 Admins, 28 mal nur das Dashboard). Gibt es die Möglichkeit, ein "No Access"-Recht zu definieren oder den Login zu verweigern?

      Eine andere Überlegung wäre, für den Login und für den Sync unterschiedliche AD-Verbindungen einzurichten. Das funktionierte bei mir aber nur, wenn beide Verbindungen aktiv waren. Mit dem gleichen Ergebnis: alle dürfen sich anmelden…

      Ich benutze die 1.9.3 PRO auf einem centOS 7...

      Ich hoffe, ich konnte mein "Problem" verständlich beschreiben und bin nicht der Einzige, dem so eine Idee kam ;-).

      Viele Grüße und schönes Wochenende!
      Sven

      1 Reply Last reply Reply Quote 0
      • creissC
        creiss i-doit Kenner
        last edited by

        Hallo Sven,

        kurz gesagt: Das geht aktuell nicht bzw. nur über Umwege. Sobald ein Benutzer über das AD gefunden wird, funktioniert der Login.

        Du könntest die Konfiguration zwei Mal eintragen. Erst so, dass alle Benutzer gefunden werden und dann noch so, dass nur die für den Login berechtigten Personen gefunden werden. Letzteres geht, indem du in der Suche auch gleich eine notwendige Gruppenzugehörigkeit abfragst. Die Konfiguration, die alle findet, kannst du dann für den einmaligen Sync nutzen und danach wieder deaktivieren. Die andere Konfiguration bleibt aktiv.

        Ein Umweg, um den Sync trotzdem zu automatisieren, wäre, indem du dir mit einem Skript behelfsweise über die Datenbank die Konfiguration auf aktiv setzt, den Sync startest und diese danach wieder deaktivierst. Alles nicht so einfach, wie ein explizites Recht dafür, ich weiß. 🙂

        Lieben Gruß und ebenfalls ein schönes Wochenende
        Christian

        NEU - i-doit und IT-Dokumentation bei YouTube: https://www.youtube.com/channel/UCK9fitbW5J1yhiDs5Dr3YQw
        Komplett-Strategie: https://i-doit-trainings.de/it-dokumentation-komplett-strategie/
        i-doit Mastery – https://i-doit-trainings.de/i-doit-mastery

        1 Reply Last reply Reply Quote 0
        • dkirstenD
          dkirsten administrators
          last edited by

          Hi,

          habe dazu mal einen Feature Request erstellt. Ein "No login" Flag in der Login Kategorie, das auch mit dem AD Synch zusammenspielt.

          Viele Grüße,

          Daniel

          1 Reply Last reply Reply Quote 0
          • S
            sosswald
            last edited by

            Hallo zusammen,

            danke für die Antworten. Ich hatte mir auch schon eine "Zwitter"-Lösung überlegt und bin gerade dabei, diese umzusetzen (2 Server, per script umschalten).

            Das NoLogin-Flag wäre natürlich die eleganteste Lösung 🙂

            Sobald ich das Umschalten etc. hinbekommen habe, kann ich ja, sofern gewünscht, das Script hier einstellen.

            Viele Grüße,
            Sven

            1 Reply Last reply Reply Quote 0
            • First post
              Last post