Page 1 of 1

LDAP Frage: 3 Domains + Group

Posted: Tue Mar 25, 2014 2:59 pm
by hadro
Hallo zusammen,

erstmal Glückwunsch zu diesem tollen Produkt :) Wir sind im großen und ganzen sehr begeistert.

Folgende Frage ist noch offen geblieben - lässt sich dieses Szenario aufbauen?:


Es existieren 3 Domains - Vertrauensstellung ist gegeben.
domain1.net / domain2.net / domain3.net

in domain1.net steht der FAQ server. Hier sollen sich alle Benutzer anmelden dürfen, die in der Gruppe "FAQ_USERS" sind, welche sich im AD der domain1.net befindet.
Die Anmeldung soll natürlich mit dem AD User aus jeder Domäne funktionieren - wenn in Gruppe FAQ_USERS [Sicherheitsgruppe - Lokal (in Domäne)] hier wurden die User aus den anderen Domänen hinzugefügt..

constants_ldap.php

Code: Select all

$PMF_LDAP['ldap_use_domain_prefix'] = true;

$PMF_LDAP['ldap_use_memberOf'] = true;
$PMF_LDAP['ldap_mapping']['memberOf'] = 'cn=FAQ_USERS,ou=Gruppen,dc=domain1,dc=net';

$PMF_LDAP['ldap_use_multiple_servers'] = true;

ldap.php

Code: Select all

// Main LDAP server
$PMF_LDAP['ldap_server'] = 'domain1.net';
$PMF_LDAP['ldap_port'] = 389;
$PMF_LDAP['ldap_user'] = 'faq@domain1.net';
$PMF_LDAP['ldap_password'] = 'passw0rd';
$PMF_LDAP['ldap_base'] = 'dc=domain1,dc=net';


// More LDAP servers
// You can as much as you like, please activate them in config/constants_ldap.php, not supported currently
$PMF_LDAP[0]['ldap_server'] = 'domain2.net';
$PMF_LDAP[0]['ldap_port'] = '389';
$PMF_LDAP[0]['ldap_user'] = 'faq@domain2.net';
$PMF_LDAP[0]['ldap_password'] = 'passw0rd';
$PMF_LDAP[0]['ldap_base'] = 'dc=domain1,dc=net';

leider funktioniert so gar kein login - nur der lokal erstellte admin durfte sich noch anmelden. kein AD user :(
Nur wenn ich

Code: Select all

$PMF_LDAP['ldap_use_multiple_servers'] = false;
setze. Können die User aus der Gruppe aus domain1.net sich anmelden.

jemand eine idee? braucht ihr mehr infos?

gruß
hadro

Re: LDAP Frage: 3 Domains + Group

Posted: Tue Mar 25, 2014 5:08 pm
by Thorsten
Hi,

das funktioniert erst ab Version 2.9, die noch in Arbeit ist. Ich habe das aber mal für jemanden in die Version 2.8 gepatcht, wenn Interesse besteht, einfach per Mail melden.

bye
Thorsten

Re: LDAP Frage: 3 Domains + Group

Posted: Wed Jun 01, 2016 3:16 pm
by hadro
Hallo Thorsten,

(Nein, ich bin kein Leichenschänder, aber warum einen neuen Thread starten für die gleiche Frage?) :mrgreen:

2.9.1 ist draußen! Ist fertig installiert und die Anmeldung über mehrere Domänen funktioniert einwandfrei. Sieht auch toll aus! Wieder sehr gute Arbeit.

Bis auf ... ich würde gerne die Option "memberOf" verwenden um nur bestimmten Benutzern aus den jeweiligen Domänen zugriff auf das FAQ zu geben.
Da sich mittlerweile wichtige Informationen da drinne gesammelt haben, wäre es ganz und gar nicht gut, wenn "jeder" darauf Zugriff hätte.

Ich kann die Option auf "true" setzen und den kompletten Pfad zu einer Gruppe angeben, (Security Group - Domain local). Dort habe ich die Benutzer aus allen Domains eingetragen.

Code: Select all

$PMF_LDAP['ldap_use_memberOf'] = true;
$PMF_LDAP['ldap_mapping']['memberOf'] = 'cn=FAQ_USERS,ou=Gruppen,dc=ASD,dc=net';
Die angegebenen User aus der ersten Domain können sich anmelden. Die anderen leider nicht. Sobald ich die Option auf "false" stelle, funktioniert die Anmeldung, aber leider für alle Benutzer.


Versucht habe ich auch schon in der constants_ldap.php diese 2 Zeilen auszukommentieren und dafür in die ldap.php die Eintrage mit der Domain "ID" zu verwenden

Code: Select all

$PMF_LDAP['ldap_use_memberOf'] = true;
$PMF_LDAP['ldap_mapping']['memberOf'] = 'cn=FAQ_USERS,ou=Gruppen,dc=ASD,dc=net';

$PMF_LDAP[1]['ldap_use_memberOf'] = true;
$PMF_LDAP[1]['ldap_mapping']['memberOf'] = 'cn=FAQ_USERS,ou=Gruppen,dc=ASD22222222,dc=net';
das klappt leider nicht. Bevor ich jedoch alle meine weiteren Versuche aufzähle direkt die Frage:

Kann ich die memberOf Funktion direkt auf eine/mehrere Domäne(n) anwenden, und pro Domäne eine eigene Gruppe anlegen, welche die Loginrechte verwaltet?

Oder gibt es da einen anderen Workaround?

Vielen Dank für die kommende Hilfe :)

Gruß
Christof

Re: LDAP Frage: 3 Domains + Group

Posted: Wed Jun 01, 2016 3:22 pm
by Thorsten
Hi,

vielen Dank! :-)

Zum Thema mehrere Gruppen bei LDAP: Vorab, ich bin kein AD/LDAP Experte. Ich habe mir den Code mal angesehen und ich denke, man könnte über mehrere Gruppen iterieren und die LDAP-Abfrage so auf mehrere Gruppen zu erweitern.

bye
Thorsten

Re: LDAP Frage: 3 Domains + Group

Posted: Thu Jun 02, 2016 8:11 am
by hadro
Hallo,

vielen Dank für deine Antwort... Wie würde dein Vorschlag den in der Config Datei aussehen?
Kannst du mir ein Beispiel geben?

Danke
Gruß

Re: LDAP Frage: 3 Domains + Group

Posted: Thu Jun 02, 2016 8:37 pm
by Thorsten
Hi,

da würden die "memberOf"-Einträge analog der verschiedenen LDAP-Server aussehen.

bye
Thorsten