Community
    • Categories
    • Recent
    • Popular
    • Users
    • Search
    • Register
    • Login

    Probleme beim LDAP Sync

    Scheduled Pinned Locked Moved Betrieb
    4 Posts 2 Posters 412 Views 2 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • MartinVM Offline
      MartinV
      last edited by

      Moin!

      Umgebung: i-doit 1.15.2 PRO auf Ubuntu 18.04.5 mit Apache 2.4.29, PHP 7.4.14 und MariaDB 10.4.17.

      Problem 1: Zum Einrichten des LDAP Sync möchte ich als Unique Identifier den sAMAccountName benutzen. Wenn ich in den Kategorieerweiterungen versuche, diesen einzutragen, setzt das System beim Speichern den Wert auf custom_1 zurück. Das system-Log enthält keine Fehlermeldung.

      Problem 2: Ich setze das LDAP-Mapping der Personengruppe Reader auf 'UG Angestellte'. Nach erfolgreichem Sync enthält das ldap-Log für alle User

      [2021-02-03 15:29:45] ldap.DEBUG:  ->search: dn=CN=UG Angestellte,... | filter=(objectclass=*) [] []
[2021-02-03 15:29:45] ldap.DEBUG:  Found CN=UG Angestellte,... (Filter: (objectclass=*)): 0 [] []

      und das Mapping wird nicht hergestellt. Für andere Gruppen loggt das System

      [2021-02-03 15:29:45] ldap.DEBUG:  ->search: dn=CN=LG Sharepoint,... | filter=(objectclass=*) [] []
[2021-02-03 15:29:45] ldap.DEBUG:  Found CN=LG Sharepoint,... (Filter: (objectclass=*)): 1 [] []
[2021-02-03 15:29:45] ldap.DEBUG:  -- Group pendant for "LG Sharepoint" not found. Set an LDAP-Mapping in your co
rresponding person group if you want to use this as a right group. [] []

      Ich bin kein AD-Spezialist. Wovon hängt ab, welche Gruppen hier verwendet werden können?

      MartinVM 1 Reply Last reply Reply Quote 0
      • MartinVM Offline
        MartinV @MartinV
        last edited by MartinV

        Vielleicht nochmal ganz grundsätzlich: Was trägt man beim LDAP-Mapping ein: den CN der Gruppe? Oder den vollen DN?

        Und was ich oben nicht erwähnt habe: natürlich ist der LDAP-User memberOf 'UG Angestellte'.

        creissC 1 Reply Last reply Reply Quote 0
        • creissC Offline
          creiss i-doit Kenner @MartinV
          last edited by

          Hallo @martinv ,

          du gibst beim LDAP-Mapping einfach nur den Namen der Gruppe an.

          Der sAMAccountName wird bei der Anmeldung automatisch genutzt und auch für den Abgleich mit bereits vorhandenen Benutzern verwendet. Es braucht hier also nichts gesondert eingerichtet werden.

          Liebe Grüße
          Christian

          NEU - i-doit und IT-Dokumentation bei YouTube: https://www.youtube.com/@donamic_de
          Komplett-Strategie: https://i-doit-trainings.de/it-dokumentation-komplett-strategie/
          i-doit Mastery – https://i-doit-trainings.de/i-doit-mastery

          MartinVM 1 Reply Last reply Reply Quote 0
          • MartinVM Offline
            MartinV @creiss
            last edited by

            Hallo Christian @creiss,

            ich habe unserem AD-Admin jetzt mal beim Erstellen einer Gruppe über die Schulter geschaut. Mit einem anschließenden Blick ins ldap-Log stellt sich mir jetzt die Frage:

            Ist es möglich, dass das LDAP-Mapping nur für lokale und globale AD-Gruppen funktioniert, nicht aber für universale?

            Wegen unserer Domänenstruktur sind die Gruppen, die für das Mapping sinnvoll wären, immer universale Gruppen. Und das sind genau die, bei denen i-doit beim Synch nicht meldet Group pendant for "..." not found. Set an LDAP-Mapping in your corresponding person group if you want to use this as a right group.

            Grüße
            Martin

            1 Reply Last reply Reply Quote 0
            • First post
              Last post