Community
    • Categories
    • Recent
    • Popular
    • Users
    • Search
    • Register
    • Login

    initialer LDAP-Sync scheitert

    Scheduled Pinned Locked Moved Allgemein
    6 Posts 4 Posters 270 Views 2 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Borrmann-WetropaB Offline
      Borrmann-Wetropa
      last edited by

      Hallo,

      ich bin dabei unser AD per LDAP-Sync anzubinden.

      Dazu nehme ich diese Hilfestellung für Ubuntu-Linux:
      https://www.i-doit.com/blog/ldap-integration-mit-i-doit/

      Habe die Config-Datei angelegt und mit User und Passwort gefüllt (natürlich mit den echten Werten):

      nano /var/www/html/src/handler/config/ldap-sync.ini
      (die Verzeichnisse ab src hatten gefehlt, mußte ich explizit anlegen, Leserechte sind für alle vorhanden)

      Unsere Konfigurationsdatei sollte über die entsprechenden Parameter verfügen um die Attribute aus dem AD zu mappen.

      [commandArguments]
      [commandOptions]
      user=ldapsync
      password=password123
      tenantId=1

      Das nächste wäre jetzt dieser Punkt:
      Nun müssen wir den LDAP-sync ausführen damit die neuen Attribute übertragen werden. Dies können wir auf dem CLI über die Console.

      /usr/bin/php /var/www/html/console.php ldap-sync –config /var/www/html/src/handler/config/ldap-sync.ini

      Aber hier sagt das Script immer ich solle User und Passwort eingeben. Es sieht so aus, als würde die INI-Datei gar nicht einlesen?

      root@:/var/www/html/src/handler/config# /usr/bin/php /var/www/html/console.php ldap-sync –config /var/www/html/src/handler/config/ldap-sync.ini

      In AbstractCommand.php line 227:

      Missing credentials for login, please provide: --user --password

      ldap-sync [-l|--ldapServerId LDAPSERVERID] [--dumpConfig] [--connectionRankingActive [CONNECTIONRANKINGACTIVE]] [--dropExistingRelations [DROPEXISTINGRELATIONS]] [--archiveDeletedGroups [ARCHIVEDELETEDGROUPS]] [--useDefaultTemplates] [-u|--user USER] [-p|--password PASSWORD] [-i|--tenantId TENANTID] [-c|--config CONFIG]

      Auch mit User und Passwort kann das Script es nicht verarbeiten:

      root@:/var/www/html/src/handler/config# /usr/bin/php /var/www/html/console.php ldap-sync -user admin -password admin –config /var/www/html/src/handler/config/ldap-sync.ini

      In AbstractCommand.php line 227:

      Missing credentials for login, please provide: --password

      ldap-sync [-l|--ldapServerId LDAPSERVERID] [--dumpConfig] [--connectionRankingActive [CONNECTIONRANKINGACTIVE]] [--dropExistingRelations [DROPEXISTINGRELATIONS]] [--archiveDeletedGroups [ARCHIVEDELETEDGROUPS]] [--useDefaultTemplates] [-u|--user USER] [-p|--password PASSWORD] [-i|--tenantId TENANTID] [-c|--config CONFIG]

      Bin für jeden Tip dankbar.
      Frank

      Linux-Novize seit mehr als 30 Jahren

      Z 1 Reply Last reply Reply Quote 0
      • Borrmann-WetropaB Offline
        Borrmann-Wetropa
        last edited by

        ja so gehts, neuer Tag neues Glück und schon den Fehler gefunden:

        in der Anleitung heißt es -config, was aber verkehrt ist,
        denn es gibt entweder -c was auch funktioniert oder --config, welches leider NICHT funktioniert

        also gleich zwei Fehler gefunden und nun beim nächsten Problem gelandet:

        LDAP Bind failed (Can't contact LDAP server). Host: unserhost.local:389. User: UnsereDomain\UnserUser

        kann es sein, daß trotz Einsatz des Installationsscripts dem PHP noch das LDAP-Modul fehlt?

        Linux-Novize seit mehr als 30 Jahren

        L Z creissC 3 Replies Last reply Reply Quote 0
        • L Offline
          leobaer @Borrmann-Wetropa
          last edited by

          Hi,

          also in meiner RHEL 8 Installations-Doku habe ich ein

          dnf install php-ldap
          

          stehen, welches auch in der offiziellen Doku steht:
          https://kb.i-doit.com/en/installation/manual-installation/red-hat-enterprise-linux/index.html

          Ansonsten: Funktioniert ein

          openssl s_client -connect <Host>:389
          

          Wenn ja, kannst Du mit dem s_client auch gleich Dein ldapsync User testen.
          Spätestens bei ldaps wirst Du s_client eh benötigen, um zu testen.

          Leo

          1 Reply Last reply Reply Quote 0
          • Z Offline
            Zini @Borrmann-Wetropa
            last edited by Zini

            @Borrmann-Wetropa
            Hallo,

            konntest du dein Problem schon lösen? Ansonsten möchte ich dir noch ein paar Tipps an die Hand geben...

            in der Anleitung heißt es -config, was aber verkehrt ist,
            denn es gibt entweder -c was auch funktioniert oder --config, welches leider NICHT funktioniert

            In der Knowlege base (https://kb.i-doit.com/de/automatisierung-und-integration/cli/console/optionen-und-parameter-der-console.html#ldap-sync) sind die Optionen für ldap-sync beschrieben - um eine Konfigurationsdatei mitzugeben ist das die Option -c oder --config=[CONFIG-FILE] (Gleichheitszeichen und kein Leerzeichen). Damit sollte es klappen.

            Im gleichen Artikel möchte ich auf die Option -l aufmerksam machen - dort wird auf den LDAP-Server hingewiesen, der beim LDAP-Sync verwendet wird:

            Gibt die ID des LDAP-Servers an, von dem die User synchronisiert werden sollen
            Wird keine ldapServerId angegeben werden alle aktiven Server synchronisiert

            Also konkret gefragt: wurde in der Verwaltung unter Import und Schnittstellen | LDAP | Server bereits ein LDAP-Server eingerichtet? Wenn ja, wurde dort die Funktion getestet (im Editier-Modus ist ganz am Ende der Seite ein Test-Button eingeblendet)?
            Starte anfangs mit einer unverschlüsselten LDAP-Anfrage, um eine zusätzliche Fehlerquelle auszuschließen. Abfragen mittels verschlüsseltem LDAPS wären der zweite Schritt und zu empfehlen, bevor das System produktiv geht.
            Erst wenn im Verwaltungsbereich bzgl. des/der LDAP-Server alles "ok" ist, würde ich mit dem LDAP-Sync auf der Kommandozeile weiter machen.

            idoit_ldap.png

            Ein weiterer Artikel beschriebt die Einrichtung des LDAP-Syncs und könnte dir bei der Einrichtung des Selbigen helfen - https://kb.i-doit.com/de/automatisierung-und-integration/cli/console/verwendung-von-konfigurationsdateien-fuer-console-commands.html#beispiel-fur-den-command-ldap-sync

            Bitte beachte auch, dass in manchen Beispielen die i-doit-Dateien in /var/www/html/ oder /var/www/html/i-doit/ liegen; der Pfad zu deiner INI-Datei ( -c /var/www/html/src/handler/config/ldap-sync.ini) muss dementsprechend angepasst sein.

            Zurück zur Kommandozeile... nachdem der Test in der Verwaltung "ok" war, kannst du das Kommando von der CLI absetzen, bspw.

            sudo -u www-data /usr/bin/php /var/www/html/i-doit/console.php ldap-sync --config=/var/www/html/i-doit/src/handler/config/isys_handler_ldap.ini

            (Hinweis: im Beispiel wurde mit absoluten Pfaden zu php und console.php gearbeitet; bei Verwendung bitte auf den korrekten Pfad achten!!)

            Wenn die Meldungen des Sync-Vorgangs kommen - prima. Wenn nicht, können möglicherweise die Verbose-Optionen Hinweise geben, woran es scheitert.

            -v / -vv / -vvv
            Erhöht den Umfang der Rückgabe. (1 = Normale Ausgabe, 2 = Detaillierte Ausgabe, 3 = Debug-Level)

            Hier noch weitere Artikel zum LDAP-Thema und zuletzt ein Artikel zum Troubleshooting bei LDAPS, der noch weiterführende Links enthält:

            • https://kb.i-doit.com/de/benutzerauthentifizierung-und-verwaltung/ldap-verzeichnis/index.html
            • https://kb.i-doit.com/de/benutzerauthentifizierung-und-verwaltung/ldap-verzeichnis/so-werden-benutzer-und-gruppen-aus-dem-ad-ldap-importiert.html
            • https://kb.i-doit.com/de/benutzerauthentifizierung-und-verwaltung/ldap-verzeichnis/ldap-tls.html
            • https://kb.i-doit.com/de/administration/troubleshooting/ldap-via-tls.html

            Hoffe, mit den Tipps kommst du weiter und kannst dein LDAP-Sync-Problem lösen.

            Grüße,
            Zini

            1 Reply Last reply Reply Quote 1
            • creissC Offline
              creiss i-doit Kenner @Borrmann-Wetropa
              last edited by

              Hi @Borrmann-Wetropa,

              Das sieht mehr nach einer fehlgeschlagenen Verbindung durch eine Firewall, falsche Adresse oder fehlende Berechtigung oder nach einem falschen Passwort oder User aus.

              Oder konntest du das Problem schon lösen?

              Liebe Grüße
              Christian

              NEU - i-doit und IT-Dokumentation bei YouTube: https://www.youtube.com/@donamic_de
              Komplett-Strategie: https://i-doit-trainings.de/it-dokumentation-komplett-strategie/
              i-doit Mastery – https://i-doit-trainings.de/i-doit-mastery

              1 Reply Last reply Reply Quote 0
              • Z Offline
                Zini @Borrmann-Wetropa
                last edited by

                Hallo.

                @Borrmann-Wetropa said in initialer LDAP-Sync scheitert:

                Aber hier sagt das Script immer ich solle User und Passwort eingeben. Es sieht so aus, als würde die INI-Datei gar nicht einlesen?

                root@:/var/www/html/src/handler/config# /usr/bin/php /var/www/html/console.php ldap-sync –config /var/www/html/src/handler/config/ldap-sync.ini

                Warum die INI-Datei nicht gelesen wird, wurde in der vorherigen Antwort erläutert.

                @Borrmann-Wetropa said in initialer LDAP-Sync scheitert:

                Auch mit User und Passwort kann das Script es nicht verarbeiten:

                root@:/var/www/html/src/handler/config# /usr/bin/php /var/www/html/console.php ldap-sync -user admin -password admin –config /var/www/html/src/handler/config/ldap-sync.ini

                Ist mir auch erst beim zweiten lesen aufgefallen: die Optionen für den user sind -u oder --user , nicht -user . Ebenso sind die Optionen für das Passwort -p oder --password , nicht -password .
                (In der Knowledge Base heißt es dort --user= und --password= , das mag evt. versionsabhängig sein - einfach ausprobieren. 😉 )

                Es ist notwendig die exakte Zeichenfolge zu benutzen, sonst wird sie ignoriert oder wirft eine Fehlermeldung. Auch Groß-/Kleinschreibung sollte beachtet werden. Am einfachsten ist es mit -c , -u und -p zu arbeiten.

                Gruß
                Zini

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post