ADS auth: phpgwapi/inc/class.auth_ads.inc.php
accounts: phpgwapi/inc/class.accounts*.inc.php
Ralf
Vielleicht hilft das:
Ich habe vor einigen Jahren einen Squid Proxy ins AD integriert, und abhängig
von der Gruppenmitgliedschaft der Windows-Benutzer unterschiedliche
Zugriffsregeln fürs Internet realisiert. Anfangs noch mit gepatchten
Sourcecode, kann das Squid mit Samba/Winbind heute schon selbst.
Mein Tip (aus der Erinnerung): Integrier den Egroupware Server in dein ADS,
bring winbind zum laufen und dann kannst du abfragen, in welchen Gruppen ein
Benutzer Mitglied ist. Ich glaube das macht dann das Programm wbinfo.
Squid z.B. nutzt wbinfo, um per perl-Skript (wb_auth, wbgroup_auth oder so
ähnlich) in drei Schritten abzufragen, ob ein Surfer, der sich mit dem
Browser (z.B: mit NTLM) anmeldet, in einer Gruppe enthalten ist.
Drei Schritte sind notwendig , weil du zuerst (1) die Nummer des Benutzers
bekommst, und (2) damit die Liste der Gruppen-Nummern. Dann brauchts noch die
Nummer der Gruppe, auf die geprüft werden soll. Die wird dann (3) in der
Gruppen-Liste des Benutzers gesucht, und wenn ja, ist der Benutzer Mitglied
und erhält passende Squidregeln verpasst.
Die Info kann also beschafft und lokal weiterverarbeitet werden. Das ganze
läuft immer noch erfolgreich und erstaunlich schnell für ein Netz mit
mehreren hundert Benutzern (nur ein Linux Server) :-).
In weiteren Schritten haben wir dann das alles auch über PAM umgesetzt und die
Usernamen/Gruppen lokal verwendet, z.B. für IMAP. Einen Samba PDC braucht es
dazu aber meiner Meinung nach nicht, Simple ADS Integration inkl.
Vertrauensstellung (oder wie heißt das noch mal?) langt.
Oder lieg ich falsch?
szumbusch schrieb:
Hi Ralf,
danke für die Antwort.
Sehr schade, ich halte das für ein sehr interessantes Feature, weil es
die bereits getahne Arbeit übernimmt.
Jetzt ist erstmal WE. Dann schaue ich mir das mal an.
In welcher source datei wird das AD abgefragt? Und wo werden die Benutzer
accounts angelegt?
Dann brauch ich nicht so lange suchen.
Grüße,
Sascha
Ralf Becker-3 wrote:
Hi Sascha,
wir können gegen ADS im Moment nur authentifizieren, dh. überprüfen ob
der eingegebenen Benutzer/Passwort dort gültig sind.
Einzige Möglichkeit so was ähnliches zu erreichen ist mit einem Samba
PDC und den Accounts im LDAP. Dann sind die Gruppen in eGW und Windows
identisch.
Ralf
szumbusch schrieb:
Hallo allerseits.
Hat sich schon mal jemand mit existierenden Gruppen im Active Directory
auseinander gesetzt?
Mich würde es interessieren, ob es möglich wäre, einem Neuen User, der
nach
der Authentifizierung über ADS angelegt wird, den Gruppen, denen er im
AD angehört, auch im eGw zuzuordnen. Wenn es die entsprechende Gruppe
noch nicht gibt, sollte diese ebenfalls angelegt werden.
Gibt es irgendetwas in dieser Richtung?
Hintergrund: In einer Schule soll eGw als Intranet für alle Schüler und
Lehrer angewendet werden. Die ganze Schule ist über ADS organisiert,
mit über 30 Gruppen (z.B. die Klassen).
Das bei 300+ Schülern von Hand nachzuziehen, wäre etwas arg
fuddelig…:o)
Dank,
Sascha
–
Ralf Becker
eGroupWare Training & Support ==> http://www.egroupware-support.de
Outdoor Unlimited Training GmbH [www.outdoor-training.de]
Handelsregister HRB Kaiserslautern 3587
Geschäftsführer Birgit und Ralf Becker
Leibnizstr. 17, 67663 Kaiserslautern, Germany
Telefon +49 (0)631 31657-0
- This SF.net email is sponsored by: Splunk Inc.
Still grepping through log files to find problems? Stop.
Now Search log events and configuration files using AJAX and a browser.
Download your FREE copy of Splunk now >> http://get.splunk.com/
egroupware-german mailing list
egroupware-german@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/egroupware-german
–
Best Regards - Mit freundlichen Gruessen
Markus Feilner
Feilner IT Linux & GIS
Linux Solutions, Training, Seminare und Workshops - auch Inhouse
Koetztingerstr 6c 93057 Regensburg
fon regensburg +49 941 8107989
mobil +49 170 3027092=20
www: www.feilner-it.net mail: mfeilner@feilner-it.net
My new book - Out now: http://www.packtpub.com/openvpn/book
OPENVPN : Building and Integrating Virtual Private Networks
This SF.net email is sponsored by: Splunk Inc.
Still grepping through log files to find problems? Stop.
Now Search log events and configuration files using AJAX and a browser.
Download your FREE copy of Splunk now >> http://get.splunk.com/
egroupware-german mailing list
egroupware-german@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/egroupware-german
