Memberof feature wird nicht auf Gruppen angewandt

ChristianW · June 13, 2018, 5:45pm

Hallo,
ich habe gerade die memberof Funktionalität aktivieren wollen und bin zunächst alle Univention Server durchgegangen, um dann den Master zuletzt umzustellen.

Anschließend habe ich das Skript zur Modifizierung der bestehenden Einträge durchlaufen lassen.

/usr/share/univention-ldap-overlay-memberof/univention-update-memberof

Leider scheint es nicht zu funktionieren:

root@domain-ucs-ma:~# univention-ldapsearch '(uid=dschueler)' memberof
# extended LDIF
#
# LDAPv3
# base <dc=domain,dc=intranet> (default) with scope subtree
# filter: (uid=dschueler)
# requesting: memberof 
#

# dschueler, schueler, users, fsr, eusib.intranet
dn: uid=dschueler,cn=schueler,cn=users,ou=fsr,dc=domain,dc=intranet

# search result
search: 3
result: 0 Success

# numResponses: 2
# numEntries: 1

Habe ich etwas übersehen? Wenn das overlay aktiviert wird, werden die Änderungen automatisch angewandt?

Liebe Grüße
Christian

bytemine · June 14, 2018, 9:28am

Moin,

wenn es aktiviert ist, loest jede Aenderung am uniqueMember Attribut eines Objekts mit objectClass posixGroup die entsprechenden Modifikationen der memberOf Attribute der durch uniqueMember referenzierten Objekte aus. (Damit weicht UCS von den Defaults des Overlays ab).

Welchen Gruppen gehoert uid=dschueler denn an?

ChristianW · June 14, 2018, 1:02pm

Hallo bytemine,
dschueler gehört zum Beispiel der Gruppe “Domain Users fsr” an, was ja eine posixGroup ist.
Liebe Grüße
Christian
edit: Also Gruppe anlegen und das Hinzufügen von Nutzern reicht nicht aus für das Wirksamwerden des memberOf?

bytemine · June 14, 2018, 2:59pm

Moin,

das reicht aus. Ist das Overlay wirklich konfiguriert (fgrep -i memberof /etc/ldap/slapd.conf pruefen)? Wurde der slapd danach durchgestartet?

ChristianW · June 14, 2018, 7:42pm

Die Konfiguration ist wie gewünscht. Slapd läuft aber schon länger. Also nein, kein Neustart.
Ich war mir auch nicht sicher, ob ich den Neustart nach der Änderung manuell anschieben muss. Auf den Slaves ging mir das alles viel zu fix, aber auf dem Master dauerte die Änderung auf true beim Anwenden etwas. Von daher dachte ich, es wäre so schon erfolgt. Also ergeben sich neue Fragen, aber wir sind der Lösung wohl recht nahe:

Müsste ich auf allen Slaves im ersten Schritt den slapd neu starten?
Müsste ich das nachträgliche Skript (wir haben eine Update gemacht) noch einmal auf dem Master ausführen, damit die memberOf Funktion angewendet wird? Ich hatte dies nämlich schon getan.

Danke für Deine Hilfe.
Christian

bytemine · June 15, 2018, 9:39am

Moin,

da UCS noch die statische Konfiguration (slapd.conf) verwendet, muss, damit das Overlay wirksam wird, der slapd neu gestartet werden.

Eigentlich sollte das wohl bei der Installation automatisch passieren.

Das Skript fasst einfach nochmal bei allen Gruppen das uniqueMember Attribut an, so dass das Overlay getriggered wird. Es kann beliebig oft ausgefuehrt werden.

ChristianW · June 15, 2018, 10:30am

Danke! Ich probiere es am Wochenende mal aus.

ChristianW · June 18, 2018, 5:31am

Hallo,
es hat funktioniert! Sehr schön.

Eine letzte Frage noch:
Ich habe nun eine neue Gruppe angelegt und alles funktioniert, wenn ich einzelne Nutzer hinzufüge. Nun haben wir aber bereits verschiedene Gruppen mit vielen Nutzern, so dass ich gerne einfach die Gruppen zu der neuen Gruppe hinzufügen würde, bzw. dass wir nur die Nutzer in ihren Stammgruppen pflegen, anstatt in den extra Gruppen.

Sollte das einfach möglich sein?

bytemine · June 19, 2018, 10:25am

Moin,

ich verstehe nicht, was genau hier passieren soll. Wozu sind denn die extra Gruppen da?

ChristianW · June 19, 2018, 11:14am

Hallo,
wahrscheinlich habe ich da auch aus Unwissenheit unnötige Komplexität eingebaut.
Die Beispielsituation:
An einem Dienst sollen sich von manchen Standorten LehrerInnen und SchülerInnen anmelden können, von anderen nur LehrerInnen. Via LDAP kann ich Nutzer filtern oder auch die MemberOf Funktionalität nutzen. Den Filter habe ich nicht eingerichtet bekommen (etwa: (&(cn=schueler, cn=user,…)(cn=lehrer,cn=user…)) Nun wollte ich es über eine extra Gruppe regeln.
Vielleicht hätte ich meine Zielvorstellungen vorher formulieren sollen… :-/

SirTux · June 19, 2018, 6:17pm

Es müßte AFAIK ja auch eher “oder”, also “|” heißen.

ChristianW · June 20, 2018, 3:14am

Hallo Ihr beiden,
endlich klappt es. Ich hatte da eine fiese Denkblockade, die verhinderte, zu sehen, dass man ja im Filter auch einfach mehrere Gruppen angeben kann. Von daher war die Frage nach dem Sinn von Extragruppen natürlich berechtigt.

Klick machte es jetzt, als SirTux die Pipe erwähnte.
Danke Euch beiden, dass Ihr mich dahin getragen habt und so geduldig ward.
Christian