Das ist interessant. Kann ich also davon ausgehen, dass in EGroupware angelegte Gruppen genauso im UCS-LDAP auftauchen? Somit wären Namensänderungen im UCS oder in EGroupware immer auch genauso auf dem anderen System zu sehen. Ist das korrekt?
Sieht EGroupware dann auch andere Gruppen aus dem UCS-LDAP? (Bisher habe ich nicht danach gesucht und mir ist auch nichts aufgefallen. Ich bin ja EGroupware Neuling.)
Die Gruppennamen Default und Admins sind ja nicht besonders originell und daher sehe ich da ein grundsätzliches Problem zusammen mit einem externen LDAP System. (Auch wenn das kein UCS-LDAP wäre.)
Wenn eine weitere Anwendung mit dem LDAP verbunden werden soll, die standardmäßig die gleichen Gruppennamen im LDAP sucht und verwendet / manipuliert, dann kann man diese Anwendungen nicht mehr zusammen auf dem gleichen LDAP betreiben.
Das ist einer der Gründe warum ich diese Namen kritisch sehe.
Gibt es keine Möglichkeit zum Beispiel bei der Abfrage des LDAP Gruppennamen auf die beiden Gruppennamen zu mappen, die EGroupware anscheinend voraussetzt? Das würde das Problem wahrscheinlich komplett lösen. Ein Vorschlag für das Mapping (EGroupware <-> UCS-LDAP)
Default <-> EGW-Default
Admins <-> EGW-Admins
[benutzerdefiniert] <-> EGW-[benutzerdefiniert]
Noch ein Detail:
Muss EGroupware alle User im UCS-LDAP sehen? (Vielleicht ist da ja auch nicht so, denn ich habe da aktuell Schwierigkeiten, die ich in einem anderen Thread behandle.) Das ist auch kein spezielles UCS-LDAP Thema. EGroupware sieht dann ja auch User, die nur auf andere Anwendungen zugreifen (dürfen). Das kann ein Sicherheitsproblem und ein Problem laut DSGVO sein weil Usernamen bekannt werden, die innerhalb von EGroupware niemand kennen muss.
Hier hilft ein Mapping nicht, aber eine Eigenschaft des Benutzers, die bei der LDAP Abfrage berücksichtigt wird. Die Eigenschaft wäre “EGroupware-Anwender” oder so ähnlich. USC verwendet solche oder ähnliche Flags bei diversen Apps intern schon.
Gruß
Markus.
