initialer LDAP-Sync scheitert

Borrmann-Wetropa

Hallo,

ich bin dabei unser AD per LDAP-Sync anzubinden.

Dazu nehme ich diese Hilfestellung für Ubuntu-Linux:
https://www.i-doit.com/blog/ldap-integration-mit-i-doit/

Habe die Config-Datei angelegt und mit User und Passwort gefüllt (natürlich mit den echten Werten):

nano /var/www/html/src/handler/config/ldap-sync.ini
(die Verzeichnisse ab src hatten gefehlt, mußte ich explizit anlegen, Leserechte sind für alle vorhanden)

Unsere Konfigurationsdatei sollte über die entsprechenden Parameter verfügen um die Attribute aus dem AD zu mappen.

[commandArguments]
[commandOptions]
user=ldapsync
password=password123
tenantId=1

Das nächste wäre jetzt dieser Punkt:
Nun müssen wir den LDAP-sync ausführen damit die neuen Attribute übertragen werden. Dies können wir auf dem CLI über die Console.

/usr/bin/php /var/www/html/console.php ldap-sync –config /var/www/html/src/handler/config/ldap-sync.ini

Aber hier sagt das Script immer ich solle User und Passwort eingeben. Es sieht so aus, als würde die INI-Datei gar nicht einlesen?

root@:/var/www/html/src/handler/config# /usr/bin/php /var/www/html/console.php ldap-sync –config /var/www/html/src/handler/config/ldap-sync.ini

In AbstractCommand.php line 227:

Missing credentials for login, please provide: --user --password

ldap-sync [-l|--ldapServerId LDAPSERVERID] [--dumpConfig] [--connectionRankingActive [CONNECTIONRANKINGACTIVE]] [--dropExistingRelations [DROPEXISTINGRELATIONS]] [--archiveDeletedGroups [ARCHIVEDELETEDGROUPS]] [--useDefaultTemplates] [-u|--user USER] [-p|--password PASSWORD] [-i|--tenantId TENANTID] [-c|--config CONFIG]

Auch mit User und Passwort kann das Script es nicht verarbeiten:

root@:/var/www/html/src/handler/config# /usr/bin/php /var/www/html/console.php ldap-sync -user admin -password admin –config /var/www/html/src/handler/config/ldap-sync.ini

In AbstractCommand.php line 227:

Missing credentials for login, please provide: --password

ldap-sync [-l|--ldapServerId LDAPSERVERID] [--dumpConfig] [--connectionRankingActive [CONNECTIONRANKINGACTIVE]] [--dropExistingRelations [DROPEXISTINGRELATIONS]] [--archiveDeletedGroups [ARCHIVEDELETEDGROUPS]] [--useDefaultTemplates] [-u|--user USER] [-p|--password PASSWORD] [-i|--tenantId TENANTID] [-c|--config CONFIG]

Bin für jeden Tip dankbar.
Frank

Borrmann-Wetropa

ja so gehts, neuer Tag neues Glück und schon den Fehler gefunden:

in der Anleitung heißt es -config, was aber verkehrt ist,
denn es gibt entweder -c was auch funktioniert oder --config, welches leider NICHT funktioniert

also gleich zwei Fehler gefunden und nun beim nächsten Problem gelandet:

LDAP Bind failed (Can't contact LDAP server). Host: unserhost.local:389. User: UnsereDomain\UnserUser

kann es sein, daß trotz Einsatz des Installationsscripts dem PHP noch das LDAP-Modul fehlt?

leobaer

Hi,

also in meiner RHEL 8 Installations-Doku habe ich ein

dnf install php-ldap

stehen, welches auch in der offiziellen Doku steht:
https://kb.i-doit.com/en/installation/manual-installation/red-hat-enterprise-linux/index.html

Ansonsten: Funktioniert ein

openssl s_client -connect <Host>:389

Wenn ja, kannst Du mit dem s_client auch gleich Dein ldapsync User testen.
Spätestens bei ldaps wirst Du s_client eh benötigen, um zu testen.

Leo

Zini

@Borrmann-Wetropa
Hallo,

konntest du dein Problem schon lösen? Ansonsten möchte ich dir noch ein paar Tipps an die Hand geben...

in der Anleitung heißt es -config, was aber verkehrt ist,
denn es gibt entweder -c was auch funktioniert oder --config, welches leider NICHT funktioniert

In der Knowlege base (https://kb.i-doit.com/de/automatisierung-und-integration/cli/console/optionen-und-parameter-der-console.html#ldap-sync) sind die Optionen für ldap-sync beschrieben - um eine Konfigurationsdatei mitzugeben ist das die Option -c oder --config=[CONFIG-FILE] (Gleichheitszeichen und kein Leerzeichen). Damit sollte es klappen.

Im gleichen Artikel möchte ich auf die Option -l aufmerksam machen - dort wird auf den LDAP-Server hingewiesen, der beim LDAP-Sync verwendet wird:

Gibt die ID des LDAP-Servers an, von dem die User synchronisiert werden sollen
Wird keine ldapServerId angegeben werden alle aktiven Server synchronisiert

Also konkret gefragt: wurde in der Verwaltung unter Import und Schnittstellen | LDAP | Server bereits ein LDAP-Server eingerichtet? Wenn ja, wurde dort die Funktion getestet (im Editier-Modus ist ganz am Ende der Seite ein Test-Button eingeblendet)?
Starte anfangs mit einer unverschlüsselten LDAP-Anfrage, um eine zusätzliche Fehlerquelle auszuschließen. Abfragen mittels verschlüsseltem LDAPS wären der zweite Schritt und zu empfehlen, bevor das System produktiv geht.
Erst wenn im Verwaltungsbereich bzgl. des/der LDAP-Server alles "ok" ist, würde ich mit dem LDAP-Sync auf der Kommandozeile weiter machen.

Ein weiterer Artikel beschriebt die Einrichtung des LDAP-Syncs und könnte dir bei der Einrichtung des Selbigen helfen - https://kb.i-doit.com/de/automatisierung-und-integration/cli/console/verwendung-von-konfigurationsdateien-fuer-console-commands.html#beispiel-fur-den-command-ldap-sync

Bitte beachte auch, dass in manchen Beispielen die i-doit-Dateien in /var/www/html/ oder /var/www/html/i-doit/ liegen; der Pfad zu deiner INI-Datei ( -c /var/www/html/src/handler/config/ldap-sync.ini) muss dementsprechend angepasst sein.

Zurück zur Kommandozeile... nachdem der Test in der Verwaltung "ok" war, kannst du das Kommando von der CLI absetzen, bspw.

sudo -u www-data /usr/bin/php /var/www/html/i-doit/console.php ldap-sync --config=/var/www/html/i-doit/src/handler/config/isys_handler_ldap.ini

(Hinweis: im Beispiel wurde mit absoluten Pfaden zu php und console.php gearbeitet; bei Verwendung bitte auf den korrekten Pfad achten!!)

Wenn die Meldungen des Sync-Vorgangs kommen - prima. Wenn nicht, können möglicherweise die Verbose-Optionen Hinweise geben, woran es scheitert.

-v / -vv / -vvv
Erhöht den Umfang der Rückgabe. (1 = Normale Ausgabe, 2 = Detaillierte Ausgabe, 3 = Debug-Level)

Hier noch weitere Artikel zum LDAP-Thema und zuletzt ein Artikel zum Troubleshooting bei LDAPS, der noch weiterführende Links enthält:

Hoffe, mit den Tipps kommst du weiter und kannst dein LDAP-Sync-Problem lösen.

Grüße,
Zini

creiss

Hi @Borrmann-Wetropa,

Das sieht mehr nach einer fehlgeschlagenen Verbindung durch eine Firewall, falsche Adresse oder fehlende Berechtigung oder nach einem falschen Passwort oder User aus.

Oder konntest du das Problem schon lösen?

Liebe Grüße
Christian

Zini

Hallo.

@Borrmann-Wetropa said in initialer LDAP-Sync scheitert:

Aber hier sagt das Script immer ich solle User und Passwort eingeben. Es sieht so aus, als würde die INI-Datei gar nicht einlesen?

root@:/var/www/html/src/handler/config# /usr/bin/php /var/www/html/console.php ldap-sync –config /var/www/html/src/handler/config/ldap-sync.ini

Warum die INI-Datei nicht gelesen wird, wurde in der vorherigen Antwort erläutert.

@Borrmann-Wetropa said in initialer LDAP-Sync scheitert:

Auch mit User und Passwort kann das Script es nicht verarbeiten:

root@:/var/www/html/src/handler/config# /usr/bin/php /var/www/html/console.php ldap-sync -user admin -password admin –config /var/www/html/src/handler/config/ldap-sync.ini

Ist mir auch erst beim zweiten lesen aufgefallen: die Optionen für den user sind -u oder --user , nicht -user . Ebenso sind die Optionen für das Passwort -p oder --password , nicht -password .
(In der Knowledge Base heißt es dort --user= und --password= , das mag evt. versionsabhängig sein - einfach ausprobieren. )

Es ist notwendig die exakte Zeichenfolge zu benutzen, sonst wird sie ignoriert oder wirft eine Fehlermeldung. Auch Groß-/Kleinschreibung sollte beachtet werden. Am einfachsten ist es mit -c , -u und -p zu arbeiten.

Gruß
Zini