Guten Tag,
leider funktioniert der LDAP Gruppen Sync UCS → Proxmox bei mir nicht die Konfiguration ist folgende
Hate Jemand eine Idee oder braucht der User spezielle Rechte über den Domain Admin geht es leider auch nicht
Hat Jemand eine Idee wieso der LDAP User Filter nicht funktioniert (isMemberOf=Jannik-pve*) ? Es werden keine User gefunden
Die Gruppe ist im LDAP vorhanden
UCS 5.0-8 errata1125 / Proxmox Mail Gateway
Create read-only user and port 7389 on UCS for LDAP.
general settings?
mein Deutsch ist nicht gut
Funktioniert hier mit aktueller UCS und aktuellem Proxmox 8.x sehr gut:
Du benutzt aber kein User Filter
Nein, ich mach direkt von einer OU aus. Hmm… versuch mal sowas wie:
(&(uid=%s)(memberof=cn=proxmox,cn=tux-groups,cn=groups,dc=tux,dc=lan))
Ich hab das jetzt nicht explizit auf Proxmox getestet, aber auf anderen Webapps funktioniert das mit UCS.
Werkelt nicht werden keine User Synced
Wie kann ich die Gruppen den via LDAPsearch abfragen?
univention-ldapsearch -LLL -b "dc=jannik,dc=tux" -S dn: "objectClass=group"
finde ich nämlich gar keine Gruppen
Bei uns funktioniert es hiermit:
(Auszug aus /etc/pve/domain.cfg)
ldap: edu
comment Domain LDAP Authentication
base_dn dc=xxxxx,dc=yyyyyyyy,dc=de
server1 10.100.0.10
server2 10.100.0.11
user_attr uid
user_classes inetOrgPerson
bind_dn uid=LDAPsearch,cn=users,dc=xxxxx,dc=yyyyyyyy,dc=de
default 1
filter (MemberOf=cn=Domain Admins,cn=groups,dc=xxxxx,dc=yyyyyyyy,dc=de)
group_classes posixGroup
group_filter (&(ObjectClass=posixGroup)(cn:dn:=LK-ITS)(cn=Team_*))
group_name_attr cn
mode ldap
port 7389
secure 0
sync-defaults-options remove-vanished=acl;entry;properties,scope=both
Dabei werden nur die Gruppen Team_* unterhalb von LK-ITS synchronisiert.
Wegen der Suche der Gruppen, mit:
univention-ldapsearch -LLL objectClass=posixGroup dn
bekomme ich die DNs aller Gruppen aufgelistet, mit
univention-ldapsearch -LLL uid=<Benutzername> memberof
zeigt er die Gruppen eines Benutzers an.
Hallo,
bekommst du bei einem
univention-ldapsearch uid=<user> memberOf
etwas zurück?
Es kann sein, dass dein OpenLDAP dieses Attribut nicht ausliefert, auch wenn es explizit angefragt wird.
Siehe: memberOf attribute: Group memberships of user and computer objects
# search result
search: 3
result: 0 Success
# numResponses: 2
# numEntries: 1
was liefert
ucr get ldap/overlay/memberof
Hallo,
wie @externa1 bereits geschrieben hat, kannst du hier einmal die UCR Variable ldap/overlay/memberof prüfen.
Diese Variable sagt dem OpenLDAP Server, dass er memberof ausliefern soll, wenn man es explizit anfrägt - grob zusammengefasst.
Du kannst sie, falls sie auf false steht, mit ucr set ldap/overlay/memberof=true auf true stellen.
Siehe Beschreibung der UCR Variable:
In the UCS directory service group memberships are only stored in the group objects by default. If this option is enabled, the group memberships are also stored in the 'memberOf' attribute of user objects. This is done by using an overlay module of the LDAP server. If the variable is unset, the overlay module is not enabled.
Categories: service-ldap
Default: false
Type: bool
root@ucs-ad01:~# ucr get ldap/overlay/memberof
true
auf allen univention servern ? auch am master ?
Das sieht so aus, als würde er die uid überhaupt nicht finden, sonst würde der univention-ldapsearch ja wenigstens den dn ausgeben?!