5.2-2 errata118 - LDAP Abfrage liefert keine Gruppen

grefabu · June 13, 2025, 8:12am

Moin,

ich spiele mal wieder mit UCS rum.
Ich habe einen UCS installiert, dann auch ein wenig eingerichtet, Gruppen angelegt, eine Egroupware Installation aufgesetzt und angebunden.

Heute morgen klingelte das Update auf 5.2-2 errata118, das habe ich dann auch eingespielt.

Ich bin mir nicht sicher, aber das hatbei mir irgen etwas zerschossen.
Ich habe schon diverse ldapsearch Abfragen zum testen gemacht, um z.B. meinen Filter für egroupware zu designen.

Das funktionierte auch immer. Leider jetzt nicht mehr.
Ein:

ldapsearch -b "dc=meddv,dc=dev" -H ldaps://meddv-ucs001.meddv.dev -D "service-pmg@meddv.dev" -W  "sAMAccountName=palexander"

Gibt jetzt eine Antwort ohne Gruppen zurück:

# extended LDIF
#
# LDAPv3
# base <dc=meddv,dc=dev> with scope subtree
# filter: sAMAccountName=palexander
# requesting: ALL
#

# Peter Alexander, USERS, ACCOUNTS, meddv.dev
dn: CN=Peter Alexander,OU=USERS,OU=ACCOUNTS,DC=meddv,DC=dev
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Peter Alexander
sn: Alexander
givenName: Peter
displayName: Peter Alexander
name: Peter Alexander
objectGUID:: 5igtog8n2EmecC/hgdLaaA==
codePage: 0
countryCode: 0
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAbn5ToyW3vnGk6sJ1agQAAA==
sAMAccountName: palexander
sAMAccountType: 805306368
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=meddv,DC=dev
userPrincipalName: palexander@MEDDV.DEV
distinguishedName: CN=Peter Alexander,OU=USERS,OU=ACCOUNTS,DC=meddv,DC=dev

# search reference
ref: ldaps://meddv.dev/CN=Configuration,DC=meddv,DC=dev

# search reference
ref: ldaps://meddv.dev/DC=DomainDnsZones,DC=meddv,DC=dev

# search reference
ref: ldaps://meddv.dev/DC=ForestDnsZones,DC=meddv,DC=dev

# search result
search: 2
result: 0 Success

# numResponses: 5
# numEntries: 1
# numReferences: 3

Das war vorher definitiv nicht der Fall.
Ich kann das nur auf das Update schieben,…

Grüße

Gregor

boospy · June 13, 2025, 10:40pm

Ja mir gehts gleich. Konnte auf einmal nicht mehr auf meine Dokuwikis zugreifen. Zugriff verweigert. Musste bei Gruppen @ALL einstellen damit ich mich wieder einloggen konnte.

Es scheint darauf anzukommen wie eine Application abfragt. Weil ich habe jede Menge andere Webinterfaces und Anmeldemöglichkeiten. Alles ist Gruppen basiert. Bis auf Dokuwiki funktionieren alle Zugänge.

Dokuwiki greift über AD auf UCS zu, nicht über LDAP. Grund ist Kerberos Login. Der funktioniert auch nachwievor. Aber eben ohne das Gruppen ausgesehen werden können.

Verbindung: TLS
Eine Komma-separierte Liste von zusätzlichen AD-Attributen, die von den Benutzerobjekten abgefragt werden. Wird von einigen Plugins benutzt:
Auflösen verschachtelter Gruppen für ihre jeweiligen Mitglieder: Deaktiviert
Und halt die Standard Daten der UCS Server

Vielleicht siehst du Gemeinsamkeiten?
Melde dich, falls du in der Zwischenzeit was herausfindest.

grefabu · June 17, 2025, 7:44am

Moin,

dann weiß ich zumindest, das ich den Fehler nicht in meinem Handeln suchen muss

Das macht die Sache aber auch nicht besser.
Die Abfrage von Egroupware läuft ebenfalls über AD, das sollte aber egal sein, weil ldapsearch das im Prinzip ebenfalls macht.

Mache ich eine synonyme Abfrage gegen unser MS AD werden mit die memberOf Einträge geliefert.

Ich habe schon überlegt, ob ich mir den Aufwand mache, noch einmal eine Grundinstallation ohne Aktualisierung aufzusetzen, da ich das aber nicht wirklich debuggen kann würde es am Ende wenig bringen.

Grüße

grefabu · June 17, 2025, 8:55am

Moin,

ich habe mal doch noch mal eine Neuinstallation mit 5.2-1 errata118 durchgeführt.

Hier funktioniert die ldapsearch Abfrage.

Aktualisiere ich auf die 5.2-2 errata118 habe ich folgendes Verhalten:

Führe ich die ldapabfrage mit dem Hauptkonto Administrator aus, enthält die Antwort auch die Gruppenzugehörigkeit.

Nehme ich für die Abfrage ein nichtpriviligiertes Konto fehlen die memberOf Einträge.

Ich werde das Verhalten mittels Snapshots noch einmal gegentesten.

Ich gehe dann jetzt von zu wenig Rechten des abfragenden Kontos aus.

Grüße

Gregor

grefabu · June 17, 2025, 9:10am

Ich habe das Verhalten in meiner Testumgebung nachvollziehen können.

Gebe ich bei der Abfrage in EGroupware die Credenzien des Domänen Admins ein, werden die Gruppenzugehörigkeiten korrekt gezogen.

Kannst du das gegentesten?

grefabu · June 17, 2025, 11:17am

Ich habe noch diese hier in dem Kontext gefunden:

Wenn ich ein Konto in die Gruppe eintrage werden die Felder wieder angezeigt.
Jetzt würde mich aber doch eine Finale Lösung interessieren.
Schaue ich in die Gruppe bei dem funktionierenden errata118 hat die Gruppe ebenfalls keine Mitglieder,…

boospy · June 17, 2025, 4:39pm

Danke für deine Tests. Ich konnte hier folgendes auf meiner Testinstallation reproduzieren:

5.2-1 errata118:

root@ucs:~# samba-tool group listmembers "Pre-Windows 2000 Compatible Access"
S-1-5-11

Nach dem Update 5.2-2 errata118:

root@ucs:~# samba-tool group listmembers "Pre-Windows 2000 Compatible Access"
root@ucs:~#

Füge ich einen unpriviligierten User/LDAPreader zur Gruppe “Pre-Windows 2000 Compatible Access” hinzu, funktioniert wieder alles. Auch wenn ich wie beschrieben direkt das principal wieder der Gruppe hinzufüge.

Nur was ist jetzt der richtige Weg? Bug oder nicht, das ist hier die Frage…

grefabu · June 18, 2025, 7:27am

https://forge.univention.org/bugzilla/show_bug.cgi?id=53882

Das schaut nach unserem Problem aus.

boospy · June 18, 2025, 7:08pm

Ja, klingt absolut danach. Guter Fund!