Hallo,
hier mal eine LDAP Einsteiger Frage.
Ich würde gerne externen Diensten Zugriff auf den LDAP Server erlauben. Dabei geht es allein um Anmeldedienste von Personen. Nun würde ich gerne einen LDAP-Nutzer anlegen, der allein die dazu benötigten Rechte hat. Wenn ich es richtig verstehe, sollte ein Lesezugriff ausreichend sein.
Müsste ich dies in der slapd.conf via ACL machen, oder gibt es einen Weg über das Frontend?
Viele Grüße
Christian
Huhu,
wenn das OpenLDAP genügt und kein Durchsuchen des Samba-4-LDAPs nötig ist, so genügt ein »Einfaches Authentisierungskonto«. Dazu in der UMC anmelden, zu »Domäne« → »LDAP-Verzeichnis« navigieren, Container »users« anklicken, »Hinzufügen« anklicken und das »Einfache Authentisierungskonto« als Typ wählen. So ein Account hat wirklich nur das Recht, das LDAP-Verzeichnis zu durchsuchen, mehr nicht. Ideal genau dafür.
Leider wird so ein Account aber nicht ins Samba-4-LDAP synchronisiert. Muss man das durchsuchen, so legt man einfach eine reguläres Benutzerkonto an und steckt das halt nur in eine unverfängliche Gruppe.
An die ACLs der LDAP-Server muss man keinem der Fälle ran.
Gruß
mosu
Hallo Mosu,
vielen Dank, mit Deiner Hilfe läuft es jetzt. 
Allerdings gab es bei mir unter “Hinzufügen” kein “Einfaches Authentisierungskonto”. (UCS 4.2.3)
Ich habe dann einen “Benutzer” genommen und dort den Haken bei “Einfaches Authentisierungskonto” gesetzt, was nicht ganz schick ist, aber funktioniert.
Vielen Dank für Deine Hilfe und liebe Grüße
Christian
Huhu,
Ja, das hat sich mit UCS 4.3 geändert. Dort wurden die Optionen für Konten deutlich zusammengestrichen (= vereinfacht). Im Modul »Benutzer« kann man in UCS 4.3 nur noch die vollen Benutzerkonten anlegen. Daher hatte ich in meiner Antwort auch den Weg über das Modul »LDAP-Verzeichnis« beschrieben, bei dem man dann beim Anlegen den Typ wählen kann:
Gruß
mosu
Bei 4.2.3 (uns) sieht es so aus:
