Anmeldung via LDAP

Detlev 2012-08-31 09:01:53 UTC #1

Guten Morgen,

ich habe das aktuelle eGW auf einem SME Server 8.0 (CentOS) installiert und möchte LDAP benutzen. Die Installation scheint soweit jetzt in Ordnung. Die Anmeldung als Benutzer admin scheitert und in der egw_access_log steht als loginid immer hinter dem User-Name ein @default, also admin@default. Kann mir jemand helfen, wie ich dieses @default abstellen kann. Hat es etwas mit dem LDAP Suchfilter für Benutzerkonten zu tun? Was müßte dort aber genau drinstehen?

Laut phpldapadmin ist der eindeutige Name für den Admin cn=admin,ou=Groups,dc=lela24,dc=local bzw. uid=admin,ou=Users,dc=lela24,dc=local

Vielen Dank und Gruß
Detlev

ASTA 2012-08-31 10:56:08 UTC #2

Guten Morgen,

ich habe das aktuelle eGW auf einem SME Server 8.0 (CentOS) installiert und
möchte LDAP benutzen. Die Installation scheint soweit jetzt in Ordnung. Die
Anmeldung als Benutzer admin scheitert und in der egw_access_log steht als
loginid immer hinter dem User-Name ein @default, also admin@default. Kann
mir jemand helfen, wie ich dieses @default abstellen kann. Hat es etwas mit
dem LDAP Suchfilter für Benutzerkonten zu tun? Was müßte dort aber genau
drinstehen?

Laut phpldapadmin ist der eindeutige Name für den Admin
cn=admin,ou=Groups,dc=lela24,dc=local bzw.
uid=admin,ou=Users,dc=lela24,dc=local

Vielen Dank und Gruß
Detlev

Hallo Detlev,

das mit “@default” ist in der Regel schon OK so, wenn Du nur mit einer
Domain arbeitest.

Schau Dir mal die “header.inc.php” in /var/lib/egroupware (Debian) an.
Dort kannst Du weitere Parameter anpassen. In dem Fall wäre das die
"egw_domain". Aber das ist eigentlich nicht nötig…

Können sich den reguläre LDAP Benutzer anmelden?
Kann sein, daß der admin-User von LDAP hier nur für den LDAP-Zugriff zum
tragen kommt und Du das PW was Du bei der Konfiguartion von EGW für den
User admin konfiguriert hast verwenden mußt. Zumindest ist es bei mir
so. Aber auch das kannst Du in der header.inc.php ändern
(header_admin_user).

Grüsse
Ivan

Live Security Virtual Conference
Exclusive live event will cover all the ways today’s security and
threat landscape has changed and how IT managers can respond. Discussions
will include endpoint security, mobile security and the latest in malware
threats. http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/

egroupware-german mailing list
egroupware-german@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/egroupware-german

Detlev 2012-09-02 11:16:03 UTC #3

Hallo Ivan,

vielen Dank für Deine Unterstützung.

[quote=“ASTA”]Können sich den reguläre LDAP Benutzer anmelden?
Kann sein, daß der admin-User von LDAP hier nur für den LDAP-Zugriff zum
tragen kommt und Du das PW was Du bei der Konfiguartion von EGW für den
User admin konfiguriert hast verwenden mußt. Zumindest ist es bei mir
so. Aber auch das kannst Du in der header.inc.php ändern
(header_admin_user).[/quote]

Nein, keiner der eingetragenen User kann sich an eGW anmelden. Im Adressbuch finde ich alle User korrekt (z.B. Adressbuch des Webmail-Client). Habe es auch mit dem Account des Header- und Setup-Admins probiert.

Folgenden Eintrag findet man in der Log-Datei, wenn ich mich mit dem User “volker” anmelden möchte::
2012-09-02 12:46:38.098036500 conn=261 op=5 SRCH base=“ou=Users,dc=lela24,dc=local” scope=2 deref=0 filter="(&(uid=volker)(objectClass=posixAccount))"
2012-09-02 12:46:38.098038500 conn=261 op=5 SRCH attr=uid dn givenName sn mail uidNumber shadowExpire
2012-09-02 12:46:38.098038500 conn=261 op=5 SEARCH RESULT tag=101 err=0 nentries=1 text=
2012-09-02 12:46:38.118011500 conn=261 op=6 UNBIND

Tja, gibt es noch eine Idee?
Gruß Detlev

ASTA 2012-09-03 09:41:06 UTC #4

Nein, keiner der eingetragenen User kann sich an eGW anmelden. Im Adressbuch
finde ich alle User korrekt (z.B. Adressbuch des Webmail-Client). Habe es
auch mit dem Account des Header- und Setup-Admins probiert.

Folgenden Eintrag findet man in der Log-Datei, wenn ich mich mit dem User
"volker" anmelden möchte::
2012-09-02 12:46:38.098036500 conn=261 op=5 SRCH
base=“ou=Users,dc=lela24,dc=local” scope=2 deref=0
filter="(&(uid=volker)(objectClass=posixAccount))"
2012-09-02 12:46:38.098038500 conn=261 op=5 SRCH attr=uid dn givenName sn
mail uidNumber shadowExpire
2012-09-02 12:46:38.098038500 conn=261 op=5 SEARCH RESULT tag=101 err=0
nentries=1 text=
2012-09-02 12:46:38.118011500 conn=261 op=6 UNBIND

Tja, gibt es noch eine Idee?
Gruß Detlev

Hallo detlev,

im EGW-Fehlerlog auch die Meldung “volker@domain” nicht gefunden?

Wie sieht denn Deine LDAP-Konfiguration im EGW-Setup und im Adressbuch aus?

Grüsse
Ivan

egroupware-german mailing list
egroupware-german@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/egroupware-german

Svenp 2012-09-04 05:52:39 UTC #5

Hallo, bekommst du denn mit diesem Befehl etwas angezeigt?

ldapsearch -x -LLL -w??passwort?? -D cn=??adminuser??,dc=??deine-domäne??,dc=?? “(objectClass=*)”

Die Fragezeichen und das was dazwischen ist musst du natürlich anpassen.

Mit slapcat -v solltest du den Inhalt deiner kompletten LDAP Datenbank bekommen.

Gruß

Sven

Detlev 2012-09-05 10:54:44 UTC #6

Hallo Ivan,

Das habe ich noch nicht überprüft. Ich finde nicht das passende Logfile. In welchem Verzeichnis finde ich das Logfile?

Meine Parameter sind:

LDAP-Host: 127.0.0.1
LDAP-Kontext für Benutzerkonten: ou=Users,dc=lela24,dc=local
LDAP Suchfilter für Benutzerkonten, Vorgabe “(uid=%user)”, %domain=eGW Domain: kein Eintrag vorgenommen
LDAP-Kontext für Gruppe: ou=Groups,dc=lela24,dc=local
LDAP rootdn Benutzerkonten suchen und Passwörter ändern): uid=admin,ou=Users,dc=lela24,dc=local
LDAP-Root-Passwort:
LDAP-Verschlüsselungstyp: md5_crypt (in der slapd.conf steht nur Crypt)
Wollen Sie Benutzerverzeichnisse und Login-Shell Attribute verwalten?: Ja
LDAP-Vorgabewert für Benutzerverzeichnisse (z.B. /home für /home/username): /home
LDAP-Vorgabewert für Kommandointerpreter (shell) (z.B. /bin/bash): /bin/bash

Vielen Dank und Gruß
Detlev

Detlev 2012-09-05 10:59:28 UTC #7

Hallo Sven,

vielen Dank für die Unterstützung.

[quote=“Svenp”]
ldapsearch -x -LLL -w??passwort?? -D cn=??adminuser??,dc=??deine-domäne??,dc=?? “(objectClass=*)”

Die Fragezeichen und das was dazwischen ist musst du natürlich anpassen.

Mit slapcat -v solltest du den Inhalt deiner kompletten LDAP Datenbank bekommen.[/quote]

Die Ausgabe von slapcat liestet mir alle Benutzer ordnungsgemäß auf. Als objectClass wird auch posixAccount angezeigt, welches wohl für eGW verwendet wird.

Gruß Detlev

ASTA 2012-09-05 11:31:48 UTC #8

Hallo Detlev,

ASTA wrote

im EGW-Fehlerlog auch die Meldung “volker@domain” nicht gefunden?
Das habe ich noch nicht überprüft. Ich finde nicht das passende Logfile. In
welchem Verzeichnis finde ich das Logfile?

Ich meinte das “egw_access_log” das Du schon mal gesichtet hattest
(Zugangsprotokoll im Admin-Bereich).

Meine Parameter sind:

LDAP-Host: 127.0.0.1
LDAP-Kontext für Benutzerkonten: ou=Users,dc=lela24,dc=local
LDAP Suchfilter für Benutzerkonten, Vorgabe “(uid=%user)”, %domain=eGW
Domain: kein Eintrag vorgenommen
LDAP-Kontext für Gruppe: ou=Groups,dc=lela24,dc=local
LDAP rootdn Benutzerkonten suchen und Passwörter ändern):
uid=admin,ou=Users,dc=lela24,dc=local
LDAP-Root-Passwort:
LDAP-Verschlüsselungstyp: md5_crypt (in der slapd.conf steht nur Crypt)
Wollen Sie Benutzerverzeichnisse und Login-Shell Attribute verwalten?: Ja
LDAP-Vorgabewert für Benutzerverzeichnisse (z.B. /home für /home/username):
/home
LDAP-Vorgabewert für Kommandointerpreter (shell) (z.B. /bin/bash): /bin/bash

Mache mal bitte folgendes:

Überprüfe mal Dein error.log des Apache-Webservers
(/var/log/apache2/error.log unter Debian), wenn Du versuchst Dich mit
einem Benutzer einzuloggen. Gibt es dort eine Fehlermeldung bzgl. LDAP?
Evtl. mal folgende Konfig testen:

LDAP-Kontext für Benutzerkonten: dc=lela24,dc=local
LDAP Suchfilter für Benutzerkonten: leer

Wo werden die EGW-User-Einstellungen gespeichert? Mysql oder LDAP
Wie gesagt, der EGW-admin Benutzer hat meines Wissens nach, nichts
mit Deinem LDAP-admin zu tun. D.h. für eine admin-Anmeldung in EGW, mußt
Du das PW verwenden, was Du beim Setup verwendet hast, bzw. nun
gecryptet in der “header.inc.php” steht.

Grüsse
Ivan

egroupware-german mailing list
egroupware-german@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/egroupware-german

Detlev 2012-09-05 14:30:28 UTC #9

Hallo Ivan

[quote=“ASTA”]
Ich meinte das “egw_access_log” das Du schon mal gesichtet hattest
(Zugangsprotokoll im Admin-Bereich).[/quote]

Schau mal bitte hier:Habe mich mit dem Benutzer Volker anmelden wollen. Dieser existiert in der Bebiliothek.

2012-09-05 15:57:42.813352500 conn=2596 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
2012-09-05 15:57:42.814382500 conn=2596 op=2 SRCH base=“cn=Subschema” scope=0 deref=0 filter="(objectClass=)“
2012-09-05 15:57:42.814383500 conn=2596 op=2 SRCH attr=objectClasses
2012-09-05 15:57:42.814383500 conn=2596 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
2012-09-05 15:57:42.815392500 conn=2596 op=3 BIND anonymous mech=implicit ssf=0
2012-09-05 15:57:42.815397500 conn=2596 op=3 BIND dn=“uid=admin,ou=Users,dc=lela24,dc=local” method=128
2012-09-05 15:57:42.815549500 conn=2596 op=3 BIND dn=“uid=admin,ou=Users,dc=lela24,dc=local” mech=SIMPLE ssf=0
2012-09-05 15:57:42.815565500 conn=2596 op=3 RESULT tag=97 err=0 text=
2012-09-05 15:57:42.821556500 conn=2596 op=4 SRCH base=“ou=Users,dc=lela24,dc=local” scope=2 deref=0 filter=”(&(uid=volker)(objectClass=posixAccount))“
2012-09-05 15:57:42.821558500 conn=2596 op=4 SEARCH RESULT tag=101 err=0 nentries=1 text=
2012-09-05 15:57:42.824748500 conn=2597 fd=17 ACCEPT from IP=127.0.0.1:48514 (IP=0.0.0.0:389)
2012-09-05 15:57:42.824806500 conn=2597 op=0 BIND dn=“uid=admin,ou=Users,dc=lela24,dc=local” method=128
2012-09-05 15:57:42.824957500 conn=2597 op=0 BIND dn=“uid=admin,ou=Users,dc=lela24,dc=local” mech=SIMPLE ssf=0
2012-09-05 15:57:42.824977500 conn=2597 op=0 RESULT tag=97 err=0 text=
2012-09-05 15:57:42.825164500 conn=2597 op=1 SRCH base=”" scope=0 deref=0 filter="(objectClass=)“
2012-09-05 15:57:42.825165500 conn=2597 op=1 SRCH attr=structuralObjectClass namingContexts supportedLDAPVersion subschemaSubentry
2012-09-05 15:57:42.825166500 conn=2597 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
2012-09-05 15:57:42.825719500 conn=2597 op=2 SRCH base=“cn=Subschema” scope=0 deref=0 filter=”(objectClass=)“
2012-09-05 15:57:42.825721500 conn=2597 op=2 SRCH attr=objectClasses
2012-09-05 15:57:42.827708500 conn=2597 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
2012-09-05 15:57:42.827952500 conn=2597 op=3 BIND anonymous mech=implicit ssf=0
2012-09-05 15:57:42.827956500 conn=2597 op=3 BIND dn=“uid=admin,ou=Users,dc=lela24,dc=local” method=128
2012-09-05 15:57:42.828119500 conn=2597 op=3 BIND dn=“uid=admin,ou=Users,dc=lela24,dc=local” mech=SIMPLE ssf=0
2012-09-05 15:57:42.828126500 conn=2597 op=3 RESULT tag=97 err=0 text=
2012-09-05 15:57:42.828368500 conn=2597 op=4 BIND anonymous mech=implicit ssf=0
2012-09-05 15:57:42.828369500 conn=2597 op=4 BIND dn=“uid=admin,ou=Users,dc=lela24,dc=local” method=128
2012-09-05 15:57:42.828369500 conn=2597 op=4 BIND dn=“uid=admin,ou=Users,dc=lela24,dc=local” mech=SIMPLE ssf=0
2012-09-05 15:57:42.828370500 conn=2597 op=4 RESULT tag=97 err=0 text=
2012-09-05 15:57:42.828550500 conn=2597 op=5 SRCH base=“ou=Users,dc=lela24,dc=local” scope=2 deref=0 filter=”(&(uid=volker)(objectClass=posixAccount))“
2012-09-05 15:57:42.828551500 conn=2597 op=5 SRCH attr=uid dn givenName sn mail uidNumber shadowExpire
2012-09-05 15:57:42.828551500 conn=2597 op=5 SEARCH RESULT tag=101 err=0 nentries=1 text=
2012-09-05 15:57:42.831199500 conn=2597 op=6 UNBIND
2012-09-05 15:57:42.831236500 conn=2597 fd=17 closed
2012-09-05 15:57:42.831466500 conn=2596 op=5 UNBIND
2012-09-05 15:57:42.831466500 conn=2596 fd=13 closed
2012-09-05 15:57:42.851639500 conn=2598 fd=13 ACCEPT from IP=127.0.0.1:48515 (IP=0.0.0.0:389)
2012-09-05 15:57:42.851705500 conn=2598 op=0 BIND dn=“uid=admin,ou=Users,dc=lela24,dc=local” method=128
2012-09-05 15:57:42.851929500 conn=2598 op=0 BIND dn=“uid=admin,ou=Users,dc=lela24,dc=local” mech=SIMPLE ssf=0
2012-09-05 15:57:42.852002500 conn=2598 op=0 RESULT tag=97 err=0 text=
2012-09-05 15:57:42.852317500 conn=2598 op=1 SRCH base=”" scope=0 deref=0 filter="(objectClass=)"
2012-09-05 15:57:42.852318500 conn=2598 op=1 SRCH attr=structuralObjectClass namingContexts supportedLDAPVersion subschemaSubentry

[quote=“ASTA”]
Mache mal bitte folgendes:

Überprüfe mal Dein error.log des Apache-Webservers
(/var/log/apache2/error.log unter Debian), wenn Du versuchst Dich mit
einem Benutzer einzuloggen. Gibt es dort eine Fehlermeldung bzgl. LDAP?[/quote]

Siehe oben.

[quote=“ASTA”]
2. Evtl. mal folgende Konfig testen:

LDAP-Kontext für Benutzerkonten: dc=lela24,dc=local
LDAP Suchfilter für Benutzerkonten: leer[/quote]

habe ich gemacht. Leider hat es keine Änderung gegeben

Bisher hatte ich die Einstellung auf LDAP belassen. Habe jetzt auf MySQL umgestellt. Hierzu mußte ich nun im setup von eGW einen neuen Admin anlegen. Jetzt kann sich der Admin auch anmelden. Das error-Log in eGW zeigt alle vergeblichen Anmeldungen an, mit dem Hinweis, Falscher Benutzername oder Passwort. Könnte es sein, dass ich die falsche Verschlüsselung heranziehe?

Mit der Speicherung in MySQL kann ich nun aber nicht auf die Benutzer im LDAP zugreifen. Für mich ist das auch ein wenig unklar. Entweder arbeite ich mit LDAP oder mit MySQL, verstehe also gar nicht, wozu diese Abfrage in den LDAP-Einstellungen gestellt wird.

[quote=“ASTA”]
4. Wie gesagt, der EGW-admin Benutzer hat meines Wissens nach, nichts
mit Deinem LDAP-admin zu tun. D.h. für eine admin-Anmeldung in EGW, mußt
Du das PW verwenden, was Du beim Setup verwendet hast, bzw. nun
gecryptet in der “header.inc.php” steht.[/quote]
Da ich zunächst immer das gleiche admin-Passwort verwende dürfte dies nicht das Problem sein. In der header.inc.php hatte ich auch schon das Passwort gelöscht und ein neues durch das Setup von eGW anlegen lassen. Dieses verwende ich.

Dank und Gruß
Detlev

ASTA 2012-09-06 11:16:40 UTC #10

Hi,

also im Log ist mir jetzt nichts ungewöhnliches aufgefallen. Nur das hin
und her zwischen admin-bind und anonymus-bind. LDAP läuft lokal, nicht wahr?

Wenn in Deiner slapd.conf die Verschlüsselung auf “crypt” gesetzt ist,
dann setze bitte mal auch in EGW auf “crypt” und nicht auf “md5_crypt”.
Daran könnte es liegen…

ASTA wrote

Wo werden die EGW-User-Einstellungen gespeichert? Mysql oder LDAP
Bisher hatte ich die Einstellung auf LDAP belassen. Habe jetzt auf MySQL
umgestellt. Hierzu mußte ich nun im setup von eGW einen neuen Admin anlegen.
Jetzt kann sich der Admin auch anmelden. Das error-Log in eGW zeigt alle
vergeblichen Anmeldungen an, mit dem Hinweis, Falscher Benutzername oder
Passwort. Könnte es sein, dass ich die falsche Verschlüsselung heranziehe?

Mit der Speicherung in MySQL kann ich nun aber nicht auf die Benutzer im
LDAP zugreifen. Für mich ist das auch ein wenig unklar. Entweder arbeite ich
mit LDAP oder mit MySQL, verstehe also gar nicht, wozu diese Abfrage in den
LDAP-Einstellungen gestellt wird.

Also Du hast z.B. die Möglichkeit, die Benutzernamen & PW immer aus dem
LDAP zu holen und zusätzlich in MYSQL speichern zu lassen.
Somit könntest Du auch ein Fallback einrichten, falls LDAP mal ausfällt.
Du kannst auch sämtliche EGW-Einstellungen, Kontakte, etc. der User im
LDAP speichern lassen, aber dann mußt Du die Schemas des LDAP erweitern
glaube ich.

Grüsse
Ivan

egroupware-german mailing list
egroupware-german@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/egroupware-german

Detlev 2012-09-06 14:31:54 UTC #11

Hallo Ivan,

vielen Dank für Deine Infos.

[quote=“ASTA”]Wenn in Deiner slapd.conf die Verschlüsselung auf “crypt” gesetzt ist,
dann setze bitte mal auch in EGW auf “crypt” und nicht auf “md5_crypt”.
Daran könnte es liegen…[/quote]

o.K., das hatte ich auch ursprünglich. Dann kam immer die Meldung schon im Setup. Wundersamer Weise meckert er dies jetzt nicht mehr an. Also steht jetzt auf crypt.

[quote=“ASTA”]
Also Du hast z.B. die Möglichkeit, die Benutzernamen & PW immer aus dem
LDAP zu holen und zusätzlich in MYSQL speichern zu lassen.
Somit könntest Du auch ein Fallback einrichten, falls LDAP mal ausfällt.
Du kannst auch sämtliche EGW-Einstellungen, Kontakte, etc. der User im
LDAP speichern lassen, aber dann mußt Du die Schemas des LDAP erweitern
glaube ich.[/quote]

o.K. Habe es jetzt auf Speichern in MySQL gesetzt und …ich kann mich anmelden! Der Benutzer wird offensichtlich aus dem LDAP angemeldet und in MySQL angelegt. Ich hatte mir das ganze völlig anders vorgestellt. dachte, ich melde mich mit LDAP als Admin an und sehe dann in der Gruppen- und Benutzerverwaltung alle Einträge aus dem LDAP.

Plötzlich gibt es eine Vielzahl von Möglichkeiten, die jetzt erst aktiviert wurden. So können jetzt Benutzer und Gruppen migriert werden und vieles mehr. Ich werde mich damit jetzt erst einmal auseinander setzen.

Gruß Detlev

Ralf_Becker_Stylite 2012-09-07 06:44:11 UTC #12

Hi Detlev,

Leider werden auch die Adressdaten nicht aus dem LDAP in das Adressbuch
übertragen. Habe ich da evtl. irgendwo noch einen “Schalter” nicht richtig
gesetzt?

EGroupware kann auf zwei Arten mit LDAP arbeiten:

1.) es wird nur gegen LDAP authentifiziert (Passwort überprüft),
Benutzerkonnten und Gruppenmitgliedschaften sind weiterhin in der Datenbank:

Welche Art der Authentifizierung wollen Sie benutzen: LDAP
Wo wollen Sie die Benutzerkonten speichern: SQL

Damit neue Benutzer sich einfach einloggen können kann man noch
folgendes einstellen:
Benutzerkonten für authentifizierte Benutzer automatisch anlegen: Ja
Ansonsten können sich nur Benutzer einloggen, die vom Admin ein
Benutzerkonto angelegt bekommen haben.

(Das gilt genauso für diverse andere angebotene Authentifizierungsarten:
IMAP, Active Directory, PAM, …)

Benutzerkonten und Gruppenmitgliedschaften werden im LDAP gespeichert:

Welche Art der Authentifizierung wollen Sie benutzen: LDAP
Wo wollen Sie die Benutzerkonten speichern: LDAP

Dafür braucht EGroupware mit dem angegeben LDAP Konto Schreibrechte
unter den angegebenen Benutzer und Gruppen Kontexten, dh. am einfachsten
hier die Root DN und das entsprechende Passwort angeben.
Beispiel LDAP Konfig:

LDAP-Host: localhost
LDAP-Kontext für Benutzerkonten: ou=accounts,o=default,dc=local
LDAP Suchfilter für Benutzerkonten, Vorgabe “(uid=%user)”, %domain=eGW
Domain: (leer lassen, sprich Vorgabe wird verwendet)
LDAP-Kontext für Gruppen: ou=groups,o=default,dc=local
LDAP rootdn Benutzerkonten suchen und Passwörter ändern):
cn=admin,dc=local (wie in deiner slapd.conf!)
LDAP-Root-Passwort: (entsprechende Pw der rootdn)

Migration zwischen LDAP und SQL findet an zwei Stellen statt:

a) als letzter Punkt unter “Wenn Sie LDAP verwenden”: Migration zwischen
versch. Orten zur Speicherung von eGroupWare Benutzern
(überträgt nur Benutzername, Name, Vorname, Pw, Gruppenmitgliedschaften)

b) innerhalb von EGroupware:
Adressbuch >> Admin >> Konfiguration der Anwendung
Dort unter “Migration nach LDAP”.

LDAP ist ein komplexes Thema …

Wenn Du Dich nicht auskennst, oder keine Zeit hast alles zusammen zu
suchen, kann ich unseren kommerziellen Support empfehlen. Hier auf den
Listen gebe ich nur allg. Hinweise, und nur wenn ich Zeit dazu finde.

Ralf

Ralf Becker
Director Software Development

Stylite AG

Morschheimer Strasse 15 | Tel. +49 6352 70629 0
D-67292 Kirchheimbolanden | Fax. +49 6352 70629 30

Email: rb@stylite.de

www.stylite.de | www.egroupware.org

Managing Directors: Andre Keller | Ralf Becker | Gudrun Mueller
Chairman of the supervisory board: Prof. Dr. Birger Leon Kropshofer

VAT DE214280951 | Registered HRB 31158 Kaiserslautern Germany

egroupware-german mailing list
egroupware-german@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/egroupware-german

Detlev 2012-09-08 11:07:39 UTC #13

Hallo Ralf,

ganz herzlichen Dank für Deine gute Erklärung. Dank Deiner Ausführung ist mir nun einiges klarer, hier haben auch Mitglieder des Forums beigetragen. Bisher hatte ich eGW immer unter Debian und Ubuntu installiert. Hier hattest Du auch schon dazu beigetragen, dass mir dies gut gelungen ist.

LDAP ist mir schon geläufig, aber die Umsetzung in eGW ist doch sehr gewachsen, man muss an verschiedenen Stellen Informationen bereitstellen. Dies ist keine Kritik, sondern ein normaler Entwicklungsprozess. Ich bin froh, dass es ein solch leistungsfähiges und professionelles Werkzeug gibt.

Nachdem bei mir nun alles mit LDAP gut funktioniert, wäre ich für eine Unterstützung zum Sambaadmin dankbar. Meine Idee ist, dass in eGW bestehende Verzeichnisse, also die Sambafreigaben genutzt werden. Es existieren bereits Gruppen und User-Verzeichnisse und diese sollen im eGW-Verzeichnis genutzt werden. Wobei das Gruppenverzeichnis auch über WebDAV erreichbar ist. Die Samba-SID habe ich eingetragen. Ist der Pfad zu mkntpwd erforderlich? Ist mit der Computer OU nur der name gemeint, oder auch die Form ou=Computers,dc=domain,dc=local? Wie trägt man im SMB Heimatpfad den Platzhalter für Username einz.B. /home/e-smith/files/users/%S/home wobei %S den Usernamen ersetzen soll. Muss für das Anmeldescript der gesamte Pfad mit Dateinamen eingegeben werden, oder nur der Pfad, wo die netlogon.bat zu finden ist.

Meine Admin-Einstellungen sehen derzeit wie folgt aus:

Konfiguration der Anwendung
Pfad zu mkntpwd: leer
Samba SID: S-1-5-21-2538051891-3903153566-118178362
Computer OU: ou=Computers
Computer Gruppe: ou=Groups

Standards für neue Benutzerkonten
SMB Heimatpfad: /home/e-smith/files/users/%S/home
Heimatlaufwerk: /home/e-smith/files/ibays/egw
Anmeldescript: /home/e-smith/files/samba/netlogon
Profilepfad: /home/e-smith/files/samba/profiles

[quote=“Ralf Becker-2”]Wenn Du Dich nicht auskennst, oder keine Zeit hast alles zusammen zu
suchen, kann ich unseren kommerziellen Support empfehlen. Hier auf den
Listen gebe ich nur allg. Hinweise, und nur wenn ich Zeit dazu finde.[/quote]
Diesen Dienst habe ich auch schon mehrfach in Anspruch genommen und es wurde mir immer schnell und professionell geholfen. In diesem Fall teste ich eine Sache privat aus und hoffte, dass ich es ohne Budget realisieren kann.

Vielen Dank und Gruß
Detlev

Ralf_Becker_Stylite 2012-09-11 19:34:10 UTC #14

Hi Detlev,

Hallo Ralf,

ganz herzlichen Dank für Deine gute Erklärung. Dank Deiner Ausführung ist
mir nun einiges klarer, hier haben auch Mitglieder des Forums beigetragen.
Bisher hatte ich eGW immer unter Debian und Ubuntu installiert. Hier hattest
Du auch schon dazu beigetragen, dass mir dies gut gelungen ist.

Ralf Becker-2 wrote

LDAP ist ein komplexes Thema …
LDAP ist mir schon geläufig, aber die Umsetzung in eGW ist doch sehr
gewachsen, man muss an verschiedenen Stellen Informationen bereitstellen.
Dies ist keine Kritik, sondern ein normaler Entwicklungsprozess. Ich bin
froh, dass es ein solch leistungsfähiges und professionelles Werkzeug gibt.

Nachdem bei mir nun alles mit LDAP gut funktioniert, wäre ich für eine
Unterstützung zum Sambaadmin dankbar. Meine Idee ist, dass in eGW bestehende
Verzeichnisse, also die Sambafreigaben genutzt werden. Es existieren bereits
Gruppen und User-Verzeichnisse und diese sollen im eGW-Verzeichnis genutzt
werden. Wobei das Gruppenverzeichnis auch über WebDAV erreichbar ist. Die
Samba-SID habe ich eingetragen. Ist der Pfad zu mkntpwd erforderlich? Ist

Nein, nicht mehr

mit der Computer OU nur der name gemeint, oder auch die Form
ou=Computers,dc=domain,dc=local? Wie trägt man im SMB Heimatpfad den
Platzhalter für Username einz.B. /home/e-smith/files/users/%S/home wobei %S
den Usernamen ersetzen soll. Muss für das Anmeldescript der gesamte Pfad mit
Dateinamen eingegeben werden, oder nur der Pfad, wo die netlogon.bat zu
finden ist.

Also Sambaadmin dient dazu die die Password Hashes für Samba zu
erzeugen, sprich wenn User sein Password in EGw ändert auch die Hashes
im LDAP mit zu ändern.

Damit kann man keine Samba Shares in EGroupware einbinden, das ist nur
mittels des Samba Stream Wrappers in EPL möglich. Damit kann man die
Homeverzeichnisse der User oder irgendwelche Shares in das EGroupware
VFS mounten und die User agieren dort mit ihrem eigenen Benutzerkonto.

Ein Grund mehr ein Stylite Kunde zu werden

Ralf

Meine Admin-Einstellungen sehen derzeit wie folgt aus:

Konfiguration der Anwendung
Pfad zu mkntpwd: leer
Samba SID: S-1-5-21-2538051891-3903153566-118178362
Computer OU: ou=Computers
Computer Gruppe: ou=Groups

Standards für neue Benutzerkonten
SMB Heimatpfad: /home/e-smith/files/users/%S/home
Heimatlaufwerk: /home/e-smith/files/ibays/egw
Anmeldescript: /home/e-smith/files/samba/netlogon
Profilepfad: /home/e-smith/files/samba/profiles

Ralf Becker-2 wrote

Wenn Du Dich nicht auskennst, oder keine Zeit hast alles zusammen zu
suchen, kann ich unseren kommerziellen Support empfehlen. Hier auf den
Listen gebe ich nur allg. Hinweise, und nur wenn ich Zeit dazu finde.
Diesen Dienst habe ich auch schon mehrfach in Anspruch genommen und es wurde
mir immer schnell und professionell geholfen. In diesem Fall teste ich eine
Sache privat aus und hoffte, dass ich es ohne Budget realisieren kann.

Vielen Dank und Gruß
Detlev

–
View this message in context: http://egroupware.219119.n3.nabble.com/Anmeldung-via-LDAP-tp3985587p3985702.html
Sent from the egroupware-german mailing list archive at Nabble.com.

Live Security Virtual Conference
Exclusive live event will cover all the ways today’s security and
threat landscape has changed and how IT managers can respond. Discussions
will include endpoint security, mobile security and the latest in malware
threats. http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/

egroupware-german mailing list
egroupware-german@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/egroupware-german

–
Ralf Becker
Director Software Development

Stylite AG

Morschheimer Strasse 15 | Tel. +49 6352 70629 0
D-67292 Kirchheimbolanden | Fax. +49 6352 70629 30

Email: rb@stylite.de

www.stylite.de | www.egroupware.org

Managing Directors: Andre Keller | Ralf Becker | Gudrun Mueller
Chairman of the supervisory board: Prof. Dr. Birger Leon Kropshofer

VAT DE214280951 | Registered HRB 31158 Kaiserslautern Germany

egroupware-german mailing list
egroupware-german@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/egroupware-german