Hallo,
a) kannst Du die Benutzerkonnten einschl. Gruppen und
Gruppenmitgliedschaften komplett im LDAP speichern.
Dann sind Admins per Definition in Sync mit dem was im LDAP gespeichert ist.
Für die Umstellung muss allerdings die nummerische BenutzerId (uidNumber
im LDAP und account_id in EGroupware DB) identisch sein.
muss es dafür überhaupt noch Nutzer in der lokalen Datenbank geben? Weil
die User gibt es ja eh alle im LDAP. eGroupware soll einfach darauf
zugreifen. Oder muss es trotzdem eine lokale Kopie der Konten geben?
Nein, wenn die Benutzer im LDAP gespeichert sind, werden Sie nicht
zusätzlich in der Datenbank gespeichert.
Was Du vermutlich eingerichtet hast ist eine reine Authentifizierung
gegen LDAP.
Werden Konten automatisch angelegt wenn dem so ist und ein neuer Nutzer
sind anmeldet?
Wenn die Benutzer aus dem LDAP gelesen werden, müssen Sie nicht
automatisch angelegt werden, sondern sind ja mit der Anlage im LDAP dort
vorhanden.
Falls Du nur Authentifizierst, können Benutzer automatisch (nach
erfolgreicher Anmeldung) in der EGroupware Datenbank angelegt werden.
Welche Gruppennamen / GIDs müssen die Gruppen haben, bzw kann man das
mappen?
Es gibt kein Mapping, wenn die Benutzer im LDAP gespeichert sind, dann
gibt es genau die Gruppen mit ihren Mitgliedschaften wie sie im LDAP
definiert sind. Die Frage ist halt bei einer bestehenen EGroupware und
LDAP Installation wie man die beiden zusammen führt. Die in b) erwähnte
Migration ist in erster Linie für eine komplette Migration. Es gibt ein
weiteres Tool (admin/admin-cli.php --change-account-id) das hilft die
nummerischen IDs in der EGroupware DB an die des LDAP anzupassen:
RalfsMac:egroupware ralf$ admin/admin-cli.php
Usage: admin-cli.php --command
admin-account[@domain],admin-password,options,… [–schedule
{YYYY-mm-dd|+1 week|+5 days}] [–requested 'Name ‘] [–comment
’comment …’] [–remote {id|name}] [–skip-checks] [–dry-run]
--skip-checks do NOT run checks
--dry-run only run checks
Alternativly you can also use a setup user and password by prefixing
it with ‘root_’, eg. ‘root_admin’ for setup user ‘admin’.
–edit-user
admin-account[@domain],admin-password,account[=new-account-name],first-name,last-name,password,email,expires{never(default)|YYYY-MM-DD|already},can-change-pw{yes(default)|no},anon-user{yes|no(default)},primary-group{Default(default)|…}[,groups,…][,homedirectory,loginshell]
Edit or add a user to EGroupware. If you specify groups, they
replace the exiting memberships! homedirectory+loginshell are
supported only for LDAP and must start with a slash!
–change-pw admin-account[@domain],admin-password,account,password
Change/set the password for a given user
–delete-user
admin-account[@domain],admin-password,account-to-delete[,account-to-move-data]
Deletes a user from EGroupware. It’s data can be moved to an other
user or it get deleted too.
–edit-group
admin-account[@domain],admin-password,group[=new-group-name],email[,members,…]
Edit or add a group to EGroupware. If you specify members, they
replace the exiting members!
–delete-group admin-account[@domain],admin-password,group-to-delete
Deletes a group from EGroupware.
–allow-app admin-account[@domain],admin-password,account,application,…
–deny-app admin-account[@domain],admin-password,account,application,…
Give or deny an account (user or group specified by account name or
id) run rights for the given applications.
–change-account-id
admin-account[@domain],admin-password,from1,to1[…,fromN,toN]
Changes one or more account_id’s in the database (make a backup
before!).
–check-acl admin-account[@domain],admin-password
Deletes ACL entries of not longer existing accounts (make a database
backup before! --> setup-cli.php).
–admin-cmd-check-cats admin-account[@domain],admin-password
Deletes categories of not longer existing accounts.
–exit-codes admin-account[@domain],admin-password
List all exit codes of the command line interface
Die Idee für eine Migration von LDAP Authentifizierung nach Benutzer
komplett aus dem LDAP ist immer alle Benutzer UND Gruppen der EGroupware
im LDAP anzulegen falls sie dort nicht sowieso schon vorhanden sind,
dann mit einem einzigen admin-cli.php --change-account-id Aufruf alle
Ids zu ändern (Gruppen sind negative in EGw!) und danach einfach
umzustellen.
Mehr kann ich Dich dazu auf der Liste nicht unterstützen, das ist mehr
ein Fall für unseren (bezahlten) Support:
https://www.egroupware.org/de/produkte/egroupware-support.html
b) im Setup >> Konfiguration gibt es ein Tool um Benutzer zwischen LDAP
<–> SQL zu migrieren.
Setup ist die Setup-Seite gemeint wo auch das LDAP an sich eingerichtet
wurde?
Ja.
Ralf
–
Ralf Becker
EGroupware GmbH [www.egroupware.org]
Handelsregister HRB Kaiserslautern 3587
Geschäftsführer Birgit und Ralf Becker
Leibnizstr. 17, 67663 Kaiserslautern, Germany
Telefon +49 631 31657-0
