Userfilter ohne memberOf

german

#1

Hallo Zusammen

Falls ich dies in das falsche Forum schreibe, bitte ich die Admins nachsichtig zu sein und es ins Richtige zu verschieben.

Ich habe ein Problem… Gewisse Applikationen lassen eine Authentifizierung nur über die MemberOf Funtkion zu. Bzw sie bieten nicht die Möglichkeit, zuerst über Gruppen zu gehen.
Leider ist es so, dass bei UCS der MemberOf Overlay standardmässig ausgeschalten ist (wieso auch immer. bzw es wäre ja zu einfach mit dem Overlay).

Die Applikation verwendet einen Teil der Zend-Api.

Nun stelle ich mir die Frage… Wie ist es möglich, einen User zu suchen, welcher einer Gruppe angehört?

Ein Beispiel im Pseudocode:

(& (uid=%s) (cn=gruppe_wo_mitglied))

Das Resultat soll das UserObjekt sein.

Ist dies so überhaupt möglich? Falls nein. Was für einen Impact hat die Aktivierung des Overlays? Bzw. ist es noch so, dass man nachträglich alle Gruppen neu anlegen muss, damit der Overlay aktiviert ist.

Grüsse

STAR Group


#2

Hallo,

ein solches Problem hatten wir bei uns auch einmal. Die Lösung ist im SDB Artikel http://sdb.univention.de/content/14/85/de/memberof-attribut-gruppenmitgliedschaften-an-benutzer_-und-rechnerobjekten.html beschrieben.

lg
Sebastian


#3

Hallo audiolinux

Danke für diesen Link. Den habe ich auch schon gelesen. Jedoch sagt Univention, dass Sie standardmässig diese Funktion nicht aktiviert haben (wieso auch immer ?!? )

Leider ist es mir nicht möglich, das bestehende System so einfach um zu bauen (Einflüsse, Abhängigkeiten, usw).

Aber Danke für den Input

Grüsse


#4

Hallo star_group,

Der genannte Artikel sagt zwar, daß die Funktion standardmäßig nicht angeschaltet ist, aber er liefert doch auch eine Anleitung, wie man es machen muß, wenn man dieses Overlay benötigt? Welche Gründe verhindern, die Funktion nach dieser Anleitung anzuschalten? Zu beachten wäre:

bei der Ersteinrichtung der Funktion:
[ul]
[li] das Paket muß zuerst auf allen Servern installiert werden, die eine LDAP Kopie halten (Backup und Slave DCs); wenn man das nicht einhält, bekommt man Replikationsfehler[/li]
[li] dann auf dem DC Master installieren[/li]
[li] einmalig den Skript /usr/share/univention-ldap-overlay-memberof/univention-update-memberof auf dem Master aufrufen, der aktualisiert das Attribut für alle bereits bestehenden Nutzer[/li][/ul]

bei der Installation weiterer DC Backups oder DC Slaves:
[ul]
[li] Nicht während der Installation joinen, sondern ohne das Häkchen arbeiten, Paket nachinstallieren, und dann joinen[/li]
[li] Die Eintragung der genannten IPs wiederholen, wie beschrieben[/li][/ul]

Es gibt auch noch einen englischsprachigen SDB Artikel, der im Prinzip das gleiche aussagt.

viele Grüße
Frank Greif


#5

Hallo greif

Ich habe das Integrieren via der Anleitung bereits an einer Kopie des Masterservers gemacht. Es ging ohne Probleme. Der Hauptgrund, wieso ich es noch nicht auf dem Produktiv-System gemacht habe, liegt daran, dass ich für das Produktiv-System keine Freigabe bekomme. Da gefürchtet wird, dass es Probleme im Betrieb geben könnte. Ich werde nun vermehrt darauf pochen, dass dieser Overlay nun installiert werden kann.

Grüsse und vielen Dank


#6

Hallo,

da hier noch nicht erwähnt: Wenn Sie Samba4 einsetzen können die das memberOf Attribut aus dem AD verwenden, dort wird es standardmäßig gepflegt.

Mit freundlichen Grüßen
Janis Meybohm