Problem bei univention-ldap-overlay-memberof und UCS 3.0

german

#1

Guten Tag,

wir haben Heute das Paket univention-ldap-overlay-memberof entdeckt, was genau unsere Anforderungen zu erfüllen scheint. (sdb.univention.de/content/3/85/d … ekten.html)

Allerdings ist nach der Installation und ausführen des Scripts “/usr/share/univention-ldap-overlay-memberof/univention-update-memberof” kein memberOf Attribut in den Benutzerobjekten angelegt worden. In der Ausgabe des Scripts stehen auch nur Gruppen die upgedatet werden und keine Benutzer. Auch bei neu erstellten Benutzern die in eine Gruppe aufgenommen werden ist das Attribut nicht gesetzt.

Hat eventuell jemand eine Idee woran das liegen kann? Über Tipps oder Lösungsvorschläge wäre ich sehr dankbar.

Mit besten Grüßen
Bastian Sebode

ucs3:~# univention-ldapsearch 'uid=vpntest' memberOf
# LDAPv3
# base <dc=ucs,dc=demo> (default) with scope subtree
# filter: uid=vpntest
# requesting: memberOf 
#
# vpntest, users, linet.demo
dn: uid=vpntest,cn=users,dc=linet,dc=demo

# search result
search: 3
result: 0 Success

# numResponses: 2
# numEntries: 1

Der Benutzer “vpntest” ist aber in einer Gruppe mit dem Namen “test” und sollte deshalb das Attribut “memberOf: test” haben, oder?

Folgend sind die zu memberOf gehörigen (unveränderten) UCR-Variablen aufgeführt:

ldap/overlay/memberof = true
ldap/overlay/memberof/dangling = ignore
ldap/overlay/memberof/member = uniqueMember
ldap/overlay/memberof/memberof = memberOf
ldap/overlay/memberof/modifiersname = cn=admin,dc=linet,dc=demo
ldap/overlay/memberof/refint = false

#2

Hallo,

die Dokumentation in der Supportdatenbank wurde für UCS 2.2 geschrieben.
Für UCS 2.4 sind hier bereits einige Anpassungen notwendig die ich in unserem Bugtracking-System unter [bug]24433[/bug] sowie [bug]24068[/bug] festgehalten habe. Die notwendigen Anpassungen für UCS 3.0 werden wir hier in naher Zukunft prüfen und implementieren.

Alternativ können Sie beim Einsatz von Samba 4 das memberOf Attribut über die Samba 4 LDAP-Schnittstelle abfragen. Dort wird es automatisch gepflegt.

Mit freundlichen Grüßen
Janis Meybohm


#3

Hallo Herr Meybohm,

Schade, dass es bisher nicht mit UCS 3 über LDAP funktioniert. Ich hatte die Hoffnung, weil es heißt seit 2.2…

Bei meinen Test über das Samba 4 AD/LDAP, bin ich leider nicht wirklich weiter gekommen, was aber daran liegt, dass ich die Bind-DN nicht kenne. Der für LDAP gültige “cn=admin,dc=ucs3,dc=demo” mit dem Kennwort aus /etc/ldap.secret scheint mit dem AD nicht zu funktionieren. Entweder ich mache etwas falsch, oder das Gerät (Astaro) von dem ich die Abfragen starten will macht einen Fehler.

Wie ist der korrekte Bind-DN um sich am Samba 4 AD zu authentifizieren?

Vielen Dank für die Unterstützung
Bastian Sebode


#4

Hallo,

der “cn=admin” Benutzer existiert im Samba 4 LDAP nicht.
Sie könnten hier (abhänging von den aus LDAP benötigten Informationen) einen beliebigen Benutzer, den Administrator oder z.B. den Hostaccount eines Rechnerobjekts als Bind-DN verwenden, z.B.:

ldapsearch -xLLL -D cn=Administrator,cn=users,<LDAP-Basis> -w <Passwort> -b cn=users,<LDAP-Basis> -h <LDAP-Server> CN=<Benutzer> memberOf

Mit freundlichen Grüßen
Janis Meybohm