Community
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Popular
    • Users
    • Search

    Probleme beim LDAP Sync

    Betrieb
    2
    4
    181
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • MartinV
      MartinV last edited by

      Moin!

      Umgebung: i-doit 1.15.2 PRO auf Ubuntu 18.04.5 mit Apache 2.4.29, PHP 7.4.14 und MariaDB 10.4.17.

      Problem 1: Zum Einrichten des LDAP Sync möchte ich als Unique Identifier den sAMAccountName benutzen. Wenn ich in den Kategorieerweiterungen versuche, diesen einzutragen, setzt das System beim Speichern den Wert auf custom_1 zurück. Das system-Log enthält keine Fehlermeldung.

      Problem 2: Ich setze das LDAP-Mapping der Personengruppe Reader auf 'UG Angestellte'. Nach erfolgreichem Sync enthält das ldap-Log für alle User

      [2021-02-03 15:29:45] ldap.DEBUG:  ->search: dn=CN=UG Angestellte,... | filter=(objectclass=*) [] []
[2021-02-03 15:29:45] ldap.DEBUG:  Found CN=UG Angestellte,... (Filter: (objectclass=*)): 0 [] []

      und das Mapping wird nicht hergestellt. Für andere Gruppen loggt das System

      [2021-02-03 15:29:45] ldap.DEBUG:  ->search: dn=CN=LG Sharepoint,... | filter=(objectclass=*) [] []
[2021-02-03 15:29:45] ldap.DEBUG:  Found CN=LG Sharepoint,... (Filter: (objectclass=*)): 1 [] []
[2021-02-03 15:29:45] ldap.DEBUG:  -- Group pendant for "LG Sharepoint" not found. Set an LDAP-Mapping in your co
rresponding person group if you want to use this as a right group. [] []

      Ich bin kein AD-Spezialist. Wovon hängt ab, welche Gruppen hier verwendet werden können?

      MartinV 1 Reply Last reply Reply Quote 0
      • MartinV
        MartinV @MartinV last edited by MartinV

        Vielleicht nochmal ganz grundsätzlich: Was trägt man beim LDAP-Mapping ein: den CN der Gruppe? Oder den vollen DN?

        Und was ich oben nicht erwähnt habe: natürlich ist der LDAP-User memberOf 'UG Angestellte'.

        creiss 1 Reply Last reply Reply Quote 0
        • creiss
          creiss i-doit Kenner @MartinV last edited by

          Hallo @martinv ,

          du gibst beim LDAP-Mapping einfach nur den Namen der Gruppe an.

          Der sAMAccountName wird bei der Anmeldung automatisch genutzt und auch für den Abgleich mit bereits vorhandenen Benutzern verwendet. Es braucht hier also nichts gesondert eingerichtet werden.

          Liebe Grüße
          Christian

          NEU - i-doit und IT-Dokumentation bei YouTube: https://www.youtube.com/channel/UCK9fitbW5J1yhiDs5Dr3YQw
          Komplett-Strategie: https://i-doit-trainings.de/it-dokumentation-komplett-strategie/
          i-doit Mastery – https://i-doit-trainings.de/i-doit-mastery

          MartinV 1 Reply Last reply Reply Quote 0
          • MartinV
            MartinV @creiss last edited by

            Hallo Christian @creiss,

            ich habe unserem AD-Admin jetzt mal beim Erstellen einer Gruppe über die Schulter geschaut. Mit einem anschließenden Blick ins ldap-Log stellt sich mir jetzt die Frage:

            Ist es möglich, dass das LDAP-Mapping nur für lokale und globale AD-Gruppen funktioniert, nicht aber für universale?

            Wegen unserer Domänenstruktur sind die Gruppen, die für das Mapping sinnvoll wären, immer universale Gruppen. Und das sind genau die, bei denen i-doit beim Synch nicht meldet Group pendant for "..." not found. Set an LDAP-Mapping in your corresponding person group if you want to use this as a right group.

            Grüße
            Martin

            1 Reply Last reply Reply Quote 0
            • First post
              Last post