LDAP-Verbindung von Tecart zu UCS

german

#1

Hallo und Guten Abend,
ich möchte gerne Tecart einsetzen und hab damit so meine Schwierigkeiten. Die Installation über einen Memberserver als App funktionierte leider nicht, denn die Installation brach nach der hälfte ab.
Danach hatte aber mein Memberserver immer einen Knacks weg und lässt sich nur schwer bedienen. Deswegen habe ich mir die ISO von Tecart selber runtergeladen und installiert und es läuft wunderbar.

Nun möchte ich aber Tecart ans AD anbinden und weiß die Einstellungen nicht.

Kann mir da einer helfen, was ich wie einstellen muss, damit die Verbindung zum UCS funktioniert?

Vielen Dank für die Bemühungen und schönen Abend noch.

MfG
Axel Wickenkamp


#2

Moin,

ich kenne zwar Tecart im Speziellen nicht, aber LDAP-Verbindungen sind LDAP-Verbindungen :slight_smile:

Einige der Werte kann man auf dem UCS DC Master auslesen (ich gehe davon aus, dass auf dem UCS DC Master auch ein Samba 4 läuft):

[ul][li]Host: Ausgabe von »ucr get ldap/host« vom UCS DC Master[/li]
[li]Port: 636 (7636 ist der OpenLDAP-Server auf UCS, nicht der Samba-Server)[/li]
[li]Account Suffix: ömm, ich weiß nicht wirklich, was die hier wollen. Leer lassen klingt für den ersten Test nicht verkehrt.[/li]
[li]Benutzername: »Administrator« sollte funktionieren, ansonsten ein x-beliebiger normaler User. Wir legen für so etwas oftmals einen User an, der z.B. »ldapsearch« heißt. Geht aber auch mit »Administrator«.[/li]
[li]BaseDN: Ausgabe von »ucr get samba4/ldap/base« vom UCS DC Master[/li][/ul]

Dass es mit Ihren Parametern nicht klappt, liegt vermutlich am Port. Ein UCS-System hat nämlich zwei LDAP-Server gleichzeitig laufen: einen OpenLDAP auf Ports 7389 (unverschlüsselt) und 7636 (verschlüsselt) sowie den in Samba 4 eingebauten LDAP-Server (Ports 389 und 636). Beide haben ihre Vor- und Nachteile, beinhalten aber generell die gleichen Daten. Wichtigster Unterschied: die Schemata sind leicht unterschiedlich, gerade was die Gruppenzugehörigkeit betrifft. Die meiste Software ist auf das ActiveDirectory-Schema getrimmt, sodass es sinnvoll ist, zuerst die Verbindung zum Samba4-LDAP auszuprobieren.

Weiterer wichtiger Unterschied: die Anmeldung. Für ein Samba4-LDAP kann man Accountnamen mit und ohne Domäne (z.B. »Administrator« oder »administrator@bs.linet-services.de«) nutzen, für OpenLDAP hingegen muss es eine DN eines existierenden Objekts sein (bei uns z.B. »uid=Administrator,cn=users,dc=bs,dc=linet-services,dc=de«).

Daher meine Empfehlung oben: Samba4-LDAP über Port 636 nutzen und als User bei »administrator« bleiben.

Gruß,
mosu


#3

Hallo,

ich habe leider gerade keinen Slave zur Verfügung und habe die Installation von TecArt daher kurzerhand auf einem unter Virtualbox virtualisierten Master durchgeführt. Das System hat den Stand 4.1-2 errata183. Die Installation lief bei mir ohne Probleme durch. Soviel erst mal dazu… Steht bei dir was in /var/log/univention/appcenter.log ?

Informationen zur AD Anbindung findet man bei TecArt im Handbuch: handbuch.tecart.de/Active_Direc … stellungen

Ich weiß nicht, ob es direkt weiterhilft, aber ich habe nach der Installation einen Screenshot von der vorkonfigurierten LDAP Anbindung gemacht. Den FQDN und den DN meines Systems habe ich durch ebensolche Platzhalter ersetzt.



#4

Guten Abend,

danke für die Antworten, aber so richtig fruchtet das nicht. Ich habe UCS schon als AD laufen. Meine virtuellen Windows-Server sind Mitglied der AD. Das ist doch der Samba 4 oder?
Also ich habe das hier eingestellt (leicht abgewandelt).

Habe ich irgendwo einen Fehler?

Danke und schönen Abend.
MfG Axel Wickenkamp


#5

Moin,

bitte lesen Sie meinen Post noch mal genau, besonders im hinteren Teil sage ich sehr genau, warum Ihre Portnummer nicht zusammen mit Ihrem Anmeldenamen funktionieren kann. Ich gebe sogar den konkreten Hinweis, was Sie probieren sollten: Port 636 (mit SSL), User »Administrator«.

Wenn Sie konkrete Hilfe benötigen, weil gewisse Einstellungen nicht funktionieren, dann zeigen Sie uns bitte exakt die Einstellungen, mit denen Sie es zuletzt erfolglos probiert haben, denn ein Screenshot, der nicht die tatsächlichen Einstellungen sondern »leicht abgewandelte« zeigt, hilft uns überhaupt nicht.
Gruß,
mosu


#6

Hallo mosu,
entschuldigen Sie vielmals, dass ich auf Ihren Beitrag nicht reagiert habe. Ich habe die Daten möglichst ähnlich von Vector genommen, weil das angeblich eine Installation via App-Center ist. Da dachte ich mir, dass müssen die richtigen Einstellungen sein. Nichts desto trotz klappts es leider immer noch nicht.

Diesmal hier einen echten Screenshot:


#7

Moin,

gibt mehrere Möglichkeiten. Idealerweise gibt’s irgendwo Logdateien von Tecart, in denen zu sehen ist, warum eine Verbindung nicht klappt.

Manuelles Analysieren geht dann so weiter:

[ol][li]Ist auf dem DC Master die Firewall aktiv, anders ausgedrückt, lässt sie Verbindungen vom den Tecart-Server zum Port 636 zu? Kann man relativ einfach mit »telnet batman.aivz.local 646« testen. Kommt da »connection refused«, so wäre das schlecht.[/li]
[li]Das Zertifikat kann ein Problem sein. Ich bin mir nach Ihrer Beschreibung nicht sicher, ob das Tecart auf einem in die Domäne gejointen UCS-Server läuft. Falls nein, so müssen Sie das UCS-CA-Zertifikat auf dem Tecart-Server als vertrauenswürdiges Stammzertifikat einrichten. Das UCS-CA-Zertifikat kann via Webbrowser vom DC Master an der Stelle heruntergeladen werden, an der Sie sich normalerweise in die UMC einloggen. Also nicht einloggen, sondern auf die daneben liegende und entsprechend beschriftete Schaltfläche klicken. Alternativ direkt aus dem Dateisystem kopieren; es liegt auf dem DC Master in /etc/univention/ssl/ucsCA/cacert.pem.[/li][/ol]

In Summe können Sie die Verschlüsselung zum Testen auch erst mal weglassen. Dazu sind allerdings mehrere Schritte nötigt:

[ol][li]Auf dem DC Master muss erlaubt werden, dass nicht verschlüsselte Verbindungen zum Samba-DC benutzt werden. Dazu die UCR-Variable »samba/ldap/server/require/strong/auth« auf »no« setzen. Anschließend Samba neu starten: »service samba restart«.[/li]
[li]In der Tecart-Konfiguration anschließend die Portnummer auf 389 ändern und SSL sowie TLS ausschalten.[/li][/ol]

Klappt es dann, so liegt’s definitiv am Zertifikat.

Gruß,
mosu


#8

Hallo,

also so richtig zum laufen habe ich es nicht bekommen, selbst mit den deaktivierten Verschlüsselung. Ich habe es dann nochmal versucht auf einem UCS-Memberserver zu installieren und siehe da jetzt geht es.
Sollte jemand die Installation händisch versuchen wie ich, dann sind das hier die richtigen Einstellungen. Ich veröffentliche mal die Einstellungen, bei mir ist das nicht so kritisch :wink:


Danke die helfen wollten, jetzt muss ich mich nur noch mit Apache streiten, damit Tecart via Proxy von außen erreichbar ist.

Schönes Wochenende