Community
    • Categories
    • Recent
    • Popular
    • Users
    • Search
    • Register
    • Login

    Probleme beim LDAP Sync

    Betrieb
    2
    4
    274
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • MartinVM
      MartinV
      last edited by

      Moin!

      Umgebung: i-doit 1.15.2 PRO auf Ubuntu 18.04.5 mit Apache 2.4.29, PHP 7.4.14 und MariaDB 10.4.17.

      Problem 1: Zum Einrichten des LDAP Sync möchte ich als Unique Identifier den sAMAccountName benutzen. Wenn ich in den Kategorieerweiterungen versuche, diesen einzutragen, setzt das System beim Speichern den Wert auf custom_1 zurück. Das system-Log enthält keine Fehlermeldung.

      Problem 2: Ich setze das LDAP-Mapping der Personengruppe Reader auf 'UG Angestellte'. Nach erfolgreichem Sync enthält das ldap-Log für alle User

      [2021-02-03 15:29:45] ldap.DEBUG:  ->search: dn=CN=UG Angestellte,... | filter=(objectclass=*) [] []
[2021-02-03 15:29:45] ldap.DEBUG:  Found CN=UG Angestellte,... (Filter: (objectclass=*)): 0 [] []

      und das Mapping wird nicht hergestellt. Für andere Gruppen loggt das System

      [2021-02-03 15:29:45] ldap.DEBUG:  ->search: dn=CN=LG Sharepoint,... | filter=(objectclass=*) [] []
[2021-02-03 15:29:45] ldap.DEBUG:  Found CN=LG Sharepoint,... (Filter: (objectclass=*)): 1 [] []
[2021-02-03 15:29:45] ldap.DEBUG:  -- Group pendant for "LG Sharepoint" not found. Set an LDAP-Mapping in your co
rresponding person group if you want to use this as a right group. [] []

      Ich bin kein AD-Spezialist. Wovon hängt ab, welche Gruppen hier verwendet werden können?

      MartinVM 1 Reply Last reply Reply Quote 0
      • MartinVM
        MartinV @MartinV
        last edited by MartinV

        Vielleicht nochmal ganz grundsätzlich: Was trägt man beim LDAP-Mapping ein: den CN der Gruppe? Oder den vollen DN?

        Und was ich oben nicht erwähnt habe: natürlich ist der LDAP-User memberOf 'UG Angestellte'.

        creissC 1 Reply Last reply Reply Quote 0
        • creissC
          creiss i-doit Kenner @MartinV
          last edited by

          Hallo @martinv ,

          du gibst beim LDAP-Mapping einfach nur den Namen der Gruppe an.

          Der sAMAccountName wird bei der Anmeldung automatisch genutzt und auch für den Abgleich mit bereits vorhandenen Benutzern verwendet. Es braucht hier also nichts gesondert eingerichtet werden.

          Liebe Grüße
          Christian

          NEU - i-doit und IT-Dokumentation bei YouTube: https://www.youtube.com/channel/UCK9fitbW5J1yhiDs5Dr3YQw
          Komplett-Strategie: https://i-doit-trainings.de/it-dokumentation-komplett-strategie/
          i-doit Mastery – https://i-doit-trainings.de/i-doit-mastery

          MartinVM 1 Reply Last reply Reply Quote 0
          • MartinVM
            MartinV @creiss
            last edited by

            Hallo Christian @creiss,

            ich habe unserem AD-Admin jetzt mal beim Erstellen einer Gruppe über die Schulter geschaut. Mit einem anschließenden Blick ins ldap-Log stellt sich mir jetzt die Frage:

            Ist es möglich, dass das LDAP-Mapping nur für lokale und globale AD-Gruppen funktioniert, nicht aber für universale?

            Wegen unserer Domänenstruktur sind die Gruppen, die für das Mapping sinnvoll wären, immer universale Gruppen. Und das sind genau die, bei denen i-doit beim Synch nicht meldet Group pendant for "..." not found. Set an LDAP-Mapping in your corresponding person group if you want to use this as a right group.

            Grüße
            Martin

            1 Reply Last reply Reply Quote 0
            • First post
              Last post