LDAP Query memberUID / uniqueMember in Gruppe

SimonK · November 21, 2017, 11:03am

Hallo,

unsere Entwickler sollen sich an diversen TYPO3 Instanzen via LDAP anmelden können. Dazu wurde im LDAP (UCS)
eine OU angelegt und innerhalb dieser OU noch eine Gruppe, der DN wäre in etwa folgendermaßen:

cn=TYPO3-Gruppe,ou=TYPO3,dc=corporate,dc=intern

Innerhalb dieser Gruppe sind alle Member als “memberUID” enthalten, memberOf ist ja kein Standard bei UCS soweit ich das weiß.
Ich stehe jetzt vor der Herausforderung, dass ich die Mitglieder dieser Gruppe filtern muss, damit diese dann im TYPO3 auftauchen - das ist aktuell noch problematisch. Hat da vlt. jemand eine Idee?

Danke und Grüße
Simon

bytemine · November 21, 2017, 5:09pm

Moin,

das Paket univention-ldap-overlay-memberof aktiviert das Overlay
fuer memberOf.

SimonK · November 22, 2017, 6:23am

Hi,

ohne dieses Paket ist das gar nicht möglich? Gibt es sonst keine Möglichkeit der Abfrage der Gruppenzugehörigkeit?

bytemine · November 22, 2017, 4:57pm

Moin,

das Paket ist einfach die offizielle Methode, das Overlay zu aktivieren.
Natuerlich kann man es auch haendisch im Konfig-Template eintragen,
was aber imho die deutlich schlechtere Variante ist.

Ohne memberOf geht es natuerlich auch. Allerdings braucht man dann
mindestens eine Suche mehr, weil nicht mehr alle benoetigten Infos in
einem Objekt hinterlegt sind. Unterstuetzt typo3 solche mehrstufigen
Abfragen?

SimonK · November 23, 2017, 6:14am

Das hier ist das LDAP Plugin: https://extensions.typo3.org/extension/ig_ldap_sso_auth/ - wenn ich das richtig erkannt habe, ist das möglich - man kann zumindest verknüpfte Abfragen rein schreiben (das Feld bietet genug Raum) https://docs.typo3.org/typo3cms/extensions/ig_ldap_sso_auth/Introduction/Index.html

bytemine · November 23, 2017, 4:42pm

Moin,

man kann laut Doku dort genau einen Query konfigurieren, nicht mehrere
aufeinanderfolgende. Allerdings gibt es dort ja vorgegeben schon die Moeglichkeit, zusaetzlich zum angegebenen Query auch noch Gruppenzugehoerigkeiten fuer den Zugriff zu verlangen.

Was ich in der Doku auf die schnelle nicht finden konnte ist, wie die
Pruefung auf Gruppenzugehoerigkeit umgesetzt ist.

SimonK · January 19, 2018, 8:13am

Hi,
wir haben das Overlay jetzt aktiviert - nur irgendwie passen die Querys nicht, weder im ApacheDirectoryStudio noch im T3. Müsste das Query nicht folgendermaßen aussehen: Beispiel: (&(uid=*)(memberOf=Gruppe)) oder vertue ich mich da gerade extrem?

Edit: Merkwürdiges Verhalten: Ich kann jetzt folgende Abfrage (im ApacheDirectoryStudio) durchführen:

(&
(uid=*)
(memberOf=cn=ldap_jira,cn=groups,dc=corporation,dc=intern)
)

Mit einer anderen Gruppe, die auch Member hat, funktioniert das jedoch nicht

Edit: Klappt jetzt auch im ApacheDirectoryStudio - warum auch immer. Jedoch passt das username Mapping im Typo3 noch nicht.

Danke und Grüße
Simon

Gohmann · February 2, 2018, 7:14am

Schön, dass es mit ApacheDirectory Studio funktioniert. Wie sieht die Typo3 Konfiguration aus?