Keine UCS-Benutzer in EGroupware sichtbar

daMark 2023-09-11 15:40:30 UTC #1

Hallo,

ich hatte vor einiger Zeit schon mal (ungelöste) Probleme auf einem UCS bei dem nicht alle Benutzer in EGroupware angezeigt wurden.

Wir wollen EGroupware jetzt noch einmal testen und ich habe dazu auf einem UCS 5.0-4 mit Stand heute aktuellstem Patch-Stand die Installation durchgeführt.
Vier UCS Benutzer habe ich danach in die Gruppe “Defaults” eingetragen.
Ich kann mich als Administrator in EGroupware anmelden. Das UCS-Passwort wird problemlos akzeptiert.
Wenn ich mir die Benutzerkonten ansehe, dann sehe ich nur Administrator, anonymous, join-backup, join-slave und ucs-sso. Bis auf den ersten Benutzer gibt es die anderen auf dem UCS gar nicht.
Schaue ich mir die Gruppen an, dann gibt es da alle, die der UCS zu bieten hat. Zu Defaults gehört nur der Eintrag “Administrator, Administrator”.

Mein Verdacht: EGroupware greift nicht auf die Benutzereinstellungen im UCS zu. Das führt zwangsweise dazu, dass ich (über den UCS) keine Benutzer einrichten und verwalten kann. Allerdings scheint die Passwortabfrage für den Benutzer Administrator geklappt zu haben und auch die Gruppen sind ja alle sichtbar.

Hat jemand eine Idee welche Einstellungen ich mir ansehen muss?

Grüße
Markus.

StefanU 2023-09-11 19:57:19 UTC #2

Hi Markus

Grad durchgetestet:

UCS 5.0.4 frisch installiert, aktuell
Benutzer angelegt
EGroupware installiert, Administrator in EGroupware angemeldet:
Benutzer in EGw sofort vorhanden und kann sich anmelden. EGw-Gruppe default hinzugefügt: Benutzer mit Anwendungen.

Benutzer in UCS angelegt: Benutzer taucht in EGw auf, Default-Gruppe hinzu…

Mail-Domain in UCS angelegt

Benutzer in EGw angelegt mit Gruppe default: funktioniert und taucht sofort in UCS auf.

Das funktioniert bei mir so weit wie wie es soll.

Gruppen:
Benutzer auf UCS der EGw-Gruppe Default hinzugefügt: Kommt in EGw sofort an im Benutzer.
Dies wird aber NICHT in der Gruppe Default korrekt sofort angezeigt. Da half ein reboot (was auch immer ich damit angestoßen habe). Das muss ich mal noch weiter beobachten.

Kann ich nicht nachvollziehen.

Stefan

daMark 2023-09-11 21:15:37 UTC #3

Hallo Stefan,

ich hatte das Problem ja schon einmal als wir EGroupware testen wollten.
Vielleicht mache ich ja irgendwo etwas falsch. Auf jeden Fall kann ich nicht erkennen was das wäre, denn wenn man auf UCS die App installiert hat. dann sollte man - so versteh ich das - gleich die UCS-Benutzer in EGroupware sehen. Und das ist hier nicht der Fall.

Will da jemand von Euch mal einen Blick drauf werfen?

Grüße
Markus.

daMark 2023-09-12 11:42:06 UTC #4

Hallo Stefan,

wie geht Ihr eigentlich mit Benutzern um, die nicht im Standard Container des UCS angelegt sind?

Vorgehen zum Nachvollziehen:
Grundinstallation eines UCS ergänzen mit den Apps “Self Servide Backend” und “Self Service”
(Damit kann man u.A. Benutzern erlauben Teile ihres Profils selber zu verwalten.)
Benutzer anlegen mit Container “<domäne>:/self registered users” und Benutzer Vorlage “keine”
(Der Container wird in der Liste der eingerichteten Benutzer angezeigt in der Spalte Pfad.)
Installation von EGroupware
Hinzufügen der Benutzer in die Gruppe "Defaults"
Prüfen, ob die Benutzer in EGroupware angezeigt werden und zur Gruppe Defaults gehören.
(Ich vermute die Benutzer werden nicht gefunden, da sie in dem anderen Zweig des LDAP Baums nicht gesucht werden, sondern nur im Standard-Zweig.)

Grüße
Markus.

Phil 2023-11-15 10:18:50 UTC #5

Moin,

ich hänge mich hier mit ran, da ich denke dass mein Anliegen passt.

Ich würde gerne in EGroupware nur Benutzer haben die in der Default Gruppe sind oder noch besser in einer Gruppe “EGroupware-Benutzer”, da ich den Namen “Default” etwas unschön finde.

Ich habe die Gruppe angelegt und im Setup ihm gesagt er soll nicht Users/Groups nehmen sondern EGroupware-Benutzer, dass ging allerdings nach hinten los.

Dass kann natürlich an mangelndem Können in Richtung LDAP Filterung-Skills liegen.

Kann mir da jemand helfen?

MfG
Phil

daMark 2023-11-15 12:49:13 UTC #6

Hallo Phil.

Wenn Du im UCS einen Container “NoEGroupware” anlegst und alle Benutzer, die EGroupware nicht finden soll, in diesen Container verschiebst, dann sollte das den gewünschten Effekt haben. Neue Benutzer könnten dann bewusst im passenden Container angelegt werden.
Wenn Du diesen Weg ausprobieren willst, dann kann ich mir genauer ansehen wie man da vorgehen muss. Ich hatte das umgekehrte Problem. Ich habe Benutzer für den “Self Service” angelegt. Die landeten in einem nicht Standard-Container und waren dann in EGroupware nicht sichtbar.

Grüße
Markus.

Phil 2023-11-16 09:14:36 UTC #7

Moin Markus,

vielen Dank für die Antwort.

Also erkennt EGroupware dann selbstständig dass ein Benutzer Mitglied der Gruppe NoEGroupware ist und blendet sie aus?

Kannst du dass genauer erklären bevor ich mich nachher aufrege weil ich es falsch mache

Meinst du mit Container eine neue Gruppe in der AD oder eine Gruppe im UCS oder noch etwas Anderes?

Ich bin noch nicht so tief in UCS drin.

Vielen Dank im Vorraus
Phil

daMark 2023-11-16 16:28:04 UTC #8

Hallo Phil,

ich weis eigentlich auch nicht ganz genau was da dahinter steckt, aber ich versuche mal das zu vermitteln was ich weis.

UCS arbeitet wohl im LDAP Baum auf eine Weise mit Containern und eventuell auch OU (Organisational Units), die EGroupware anders interpretiert.
Bei mir ist deshalb folgendes passiert: Ich habe die Apps für den “self service” im UCS installiert. Die Installation legt einen neuen Container direkt unter der LDAP-root an. Siehe diesen Screenshot den ich nach Rechtsklick/Bearbeiten auf den Container gemacht habe.

Zusätzlich hat man beim Anlegen von Benutzern die Möglichkeit diesen Container für die Benutzer zu wählen.

Die Benutzer im Container “:/self registered users” werden von EGroupware nicht gefunden. Sie werden in diesem Container gelistet, lassen sich dort markieren und mit “Verschieben nach …” an eine andere Stelle im LDAP-Baum verschieben. Wählt man als Ziel “/users”, dann tauchen sie in EGroupware wieder auf.

Warum gibt es das im UCS? Ich denke das lässt sich benutzen um zum Beispiel in UCS@School Strukturen abzubilden wie “Schule” und “Schulklasse” weil sich diese Container verschachteln lassen. Es sollte auch möglich sein einem Lehrer Rechte für den Container seiner Schulklasse zu geben. Zumindest stelle ich mir das so vor. Genauer nachforschen konnte ich noch nicht.

Im UCS Handbuch werden in “1.2.7 Richtlinienkonzept” Container kurz angerissen.
Wenn Du beim Anlegen von Benutzern festlegen willst, ob sie in EGroupware sichtbar sind oder nicht, dann findest Du wahrscheinlich in “6.7 Benutzervorlagen” Informationen. Allerdings scheint man dort weniger auf die Container einzugehen.

Wie du zum Testen (!) vorgehen könntest:

Container anlegen …

Mit Admin-Rechten am UCS anmelden
In der Management Konsole den Bereich “Domäne” / “Ldap-Verzeichnis” öffnen
Das Root-Verzeichnis markieren
“Hinzufügen” eines neuen Objektes unter dem Root-Verzeichnis vom Typ “Container:Container”
Die Container-Einstellung “Zu Standard-Benutzer-Container hinzufügen” aktivieren und den Namen “NoEGroupware” für das Objekt vergeben
Das neue Objekt erzeugen lassen
(ab jetzt sollte es beim Anlegen neuer Benutzer diesen Container in der Auswahl geben)

Benutzer einordnen …

Im LDAP-Verzeichnis den Container “users” unter der LDAP-root markieren. Es tauchen rechts die eingerichteten Benutzer auf.
Mindestens einen Benutzer markieren, der vor EGroupware “versteckt” werden soll
Im Menü “Mehr …” die Option “Verschieben nach …” wählen und als Ziel den Container “NoEGroupware” auswählen.
Die Objekte verschieben lassen.

Vorsicht!
Ich habe keine genaueren Kenntnisse über LDAP. Ich kann nicht genauer abschätzen was solche Änderungen für einen UCS bedeuten und ob alle UCS-Apps damit zurecht kommen.
Bitte selber ausreichend testen. Es dürfte sinnvoll sein speziell dafür neue Benutzer Accounts anzulegen.

Grüße
Markus.

Phil 2023-11-21 09:14:34 UTC #9

@StefanU

Stefan kannst du evtl hier für etwas mehr Klarheit sorgen?

Kann ich nicht einfach eine OU / Gruppe definieren und EGroupware holt sich nur dort die User raus?

Sobald ich eine andere Gruppe als “Users” definiere findet er gar keine User mehr.

Kann auch default sein, aber dann nur diese.

Phil 2023-11-21 11:00:48 UTC #10

Meine Lösung:

Benutzerkonten: dc=pahl,dc=intranet
Filter für Benutzerkonten: (&(univentionObjectType=users/user)(memberOf=cn=default,cn=groups,dc=pahl,dc=intranet)(uid=%user))
Gruppen: cn=groups,dc=pahl,dc=intranet

Ich nehme die Gesamtstruktur und Filter nun nach dem univentionObjectType=users/user und nach der Gruppe default

Bei mir bekomme ich genau die Benutzer die in der Gruppe default sind und niemanden sonst.

Lässt sich natürlich dann anpassen auf andere Gruppen.

Feedback wäre schön, da ich noch nicht so fit bin in LDAP und EGroupware