Ldap Authentifikation => Vtiger

german

#1

Hallo,

Wie oben Beschrieben soll die Benutzer die in ldap bzw. UCS System befinden sich an Vtiger 6.3 Authentifizieren können.

Kann mir bitte jemand eine Richtung weisen wie ich dieses Problem (Hindernis) lösen kann.
Google hat nicht wirklich viel gebracht außer adldap aber damit bekomme ich keine Verbindung zustande.
ich muss sagen das ich in diesem Bereich nicht wirklich Erfahrung habe.

später soll natürlich für die Benutzer möglich sein über SAML (SSO) anzumelden. aber wie gesagt das ist Zukunftsmusik.

System
UCS-Version
4.0-3 errata360 (Walle)
UMC-Version
7.1.63-22.864.201507151416

Später wird das System auf 4.1 Aktualisiert oder ist es ratsam davor auf 4.1 umzusteigen ?

Besten Dank


#2

Hallo mohamad,

der alte ldap auth vom 5.4er geht ja nicht mehr, von daher passt in den 6er Versionen schon der adldap. Du musst eigentlich nur einen entsprechenden user ohne Rechte für den ldap-bind im Univention (als “Einfaches Authentisierungskonto”) anlegen.

Dann mal kurz testen: (Hier im Beispiel ist das der user “vtiger”, der ldap-Server ist ucsmaster.exmaple.org und ldap-base ist “dc=exmaple,dc=org”) Du solltest in etwa folgende Rückmeldung bekommen:

$ ldapsearch -h ucsmaster.exmaple.org -p 7389 -LLL -W -s base -b "cn=users,dc=exmaple,dc=org" -D uid=vtiger,cn=users,dc=exmaple,dc=org Enter LDAP Password: dn: cn=users,dc=exmaple,dc=org description: Containing all User Objects as per default Settings objectClass: top objectClass: organizationalRole objectClass: univentionObject univentionObjectType: container/cn cn: users

In der Config für adldap (http://adldap.sourceforge.net/download.php) wäre eigentlich nur entsprechend $domainControllers, $adminUsername und $adminPassword anzupassen. Der Rest ist dann eigentlich selbsterklärend.

Gruß Lutz


#3

Moin,

die Hinweise von Herrn Willek waren schon sehr gut. Ich kenne selber adLDAP nicht, kann aber noch ein paar generische Hinweise zu LDAP-Verbindungen zum UCS geben:

Zuerst: ein UCS-System hat gleichzeitig zwei LDAP-Server, ein OpenLDAP, in dem die UMC ihre ganzen Daten ablegt und das die LDAP-Struktur für POSIX-Systeme nutzt (Linux). Dann noch das von Samba 4 beinhaltete LDAP, das die ActiveDirectory-Datenstruktur beinhaltet. Zwischen beiden wird automatisch synchronisiert, und beide kann man für Authentifizierung nutzen – mit unterschiedlichen Vor- und Nachteilen.

Die Einstellungen, die Sie generell für beide Varianten benötigen:

[ol][li]Basis-DN – diese erhalten Sie auf der Shell mittels »ucr get ldap/base«[/li]
[li]Hostnamen – das ist der Hostname des UCS DC Masters, auf der Shell mit »ucr get ldap/master«[/li]
[li]Ein Benutzerlogin und dazugehöriges Passwort, denn anonym lassen sich beide LDAPs nicht durchsuchen[/li]
[li]Die Portnummer, auf der der LDAP-Server lauscht (für das OpenLDAP: 7389, für das Samba 4-LDAP: Standardport 389)[/li][/ol]

Was beim Benutzeraccount wichtig ist: hier unterscheiden sich beide Server, was die Syntax betrifft. OpenLDAP verlangt, dass die vollständige DN des Benutzers als Loginname benutzt wird. Das ist das, was in Herrn Willeks Beispiel das »-D uid=vtiger,cn=…« darstellt. Beim Samba 4-LDAP hingegen reicht das Domänenlogin (domain\user), also »example\vtiger«.

Herr Willeks Beispiel ist also ein Test mit einem OpenLDAP. Hier noch ein Beispiel zum Durchsuchen des Samba 4-LDAPs:

[0 root@master ~] ldapsearch -LLL -x -p 389 -h master.mbu-test.intranet -D 'mbu-test\administrator' -W -b dc=mbu-test,dc=intranet | head Enter LDAP Password: dn: CN=MicrosoftDNS,CN=System,DC=mbu-test,DC=intranet objectClass: top objectClass: container cn: MicrosoftDNS instanceType: 4 whenCreated: 20150414135823.0Z whenChanged: 20150414135823.0Z uSNCreated: 3606 uSNChanged: 3606 showInAdvancedViewOnly: TRUE [0 root@master ~]

Jetzt noch zur Frage, welches davon man wählen sollte: eigentlich fast immer das Samba 4-LDAP. Warum? Weil darüber Gruppenmitgliedschaften direkt in LDAP-Filterbedingungen abgefragt werden können, was im OpenLDAP aufgrund seiner Struktur leider nicht (bzw. nur unter Verwendung eines Overlays mit vielen Nachteilen) geht. Will man also z.B. nur der Gruppe »Vertrieb« Zugriff auf vtiger geben, so geht das, wenn man das Samba 4-LDAP abfragt, beispielsweise mit einem Filter ähnlich wie »(memberOf=CN=Vertrieb,CN=Groups,DC=mbu-test,DC=intranet)«.

Gruß,
mosu