Moin,
die Hinweise von Herrn Willek waren schon sehr gut. Ich kenne selber adLDAP nicht, kann aber noch ein paar generische Hinweise zu LDAP-Verbindungen zum UCS geben:
Zuerst: ein UCS-System hat gleichzeitig zwei LDAP-Server, ein OpenLDAP, in dem die UMC ihre ganzen Daten ablegt und das die LDAP-Struktur für POSIX-Systeme nutzt (Linux). Dann noch das von Samba 4 beinhaltete LDAP, das die ActiveDirectory-Datenstruktur beinhaltet. Zwischen beiden wird automatisch synchronisiert, und beide kann man für Authentifizierung nutzen – mit unterschiedlichen Vor- und Nachteilen.
Die Einstellungen, die Sie generell für beide Varianten benötigen:
[ol][li]Basis-DN – diese erhalten Sie auf der Shell mittels »ucr get ldap/base«[/li]
[li]Hostnamen – das ist der Hostname des UCS DC Masters, auf der Shell mit »ucr get ldap/master«[/li]
[li]Ein Benutzerlogin und dazugehöriges Passwort, denn anonym lassen sich beide LDAPs nicht durchsuchen[/li]
[li]Die Portnummer, auf der der LDAP-Server lauscht (für das OpenLDAP: 7389, für das Samba 4-LDAP: Standardport 389)[/li][/ol]
Was beim Benutzeraccount wichtig ist: hier unterscheiden sich beide Server, was die Syntax betrifft. OpenLDAP verlangt, dass die vollständige DN des Benutzers als Loginname benutzt wird. Das ist das, was in Herrn Willeks Beispiel das »-D uid=vtiger,cn=…« darstellt. Beim Samba 4-LDAP hingegen reicht das Domänenlogin (domain\user), also »example\vtiger«.
Herr Willeks Beispiel ist also ein Test mit einem OpenLDAP. Hier noch ein Beispiel zum Durchsuchen des Samba 4-LDAPs:
[0 root@master ~] ldapsearch -LLL -x -p 389 -h master.mbu-test.intranet -D 'mbu-test\administrator' -W -b dc=mbu-test,dc=intranet | head
Enter LDAP Password:
dn: CN=MicrosoftDNS,CN=System,DC=mbu-test,DC=intranet
objectClass: top
objectClass: container
cn: MicrosoftDNS
instanceType: 4
whenCreated: 20150414135823.0Z
whenChanged: 20150414135823.0Z
uSNCreated: 3606
uSNChanged: 3606
showInAdvancedViewOnly: TRUE
[0 root@master ~]
Jetzt noch zur Frage, welches davon man wählen sollte: eigentlich fast immer das Samba 4-LDAP. Warum? Weil darüber Gruppenmitgliedschaften direkt in LDAP-Filterbedingungen abgefragt werden können, was im OpenLDAP aufgrund seiner Struktur leider nicht (bzw. nur unter Verwendung eines Overlays mit vielen Nachteilen) geht. Will man also z.B. nur der Gruppe »Vertrieb« Zugriff auf vtiger geben, so geht das, wenn man das Samba 4-LDAP abfragt, beispielsweise mit einem Filter ähnlich wie »(memberOf=CN=Vertrieb,CN=Groups,DC=mbu-test,DC=intranet)«.
Gruß,
mosu