LDAP Frage: 3 Domains + Group

All about webserver configurations, PHP and databases.

Moderator: Thorsten

Post Reply
hadro
Posts: 3
Joined: Tue Mar 25, 2014 2:49 pm

LDAP Frage: 3 Domains + Group

Post by hadro »

Hallo zusammen,

erstmal Glückwunsch zu diesem tollen Produkt :) Wir sind im großen und ganzen sehr begeistert.

Folgende Frage ist noch offen geblieben - lässt sich dieses Szenario aufbauen?:


Es existieren 3 Domains - Vertrauensstellung ist gegeben.
domain1.net / domain2.net / domain3.net

in domain1.net steht der FAQ server. Hier sollen sich alle Benutzer anmelden dürfen, die in der Gruppe "FAQ_USERS" sind, welche sich im AD der domain1.net befindet.
Die Anmeldung soll natürlich mit dem AD User aus jeder Domäne funktionieren - wenn in Gruppe FAQ_USERS [Sicherheitsgruppe - Lokal (in Domäne)] hier wurden die User aus den anderen Domänen hinzugefügt..

constants_ldap.php

Code: Select all

$PMF_LDAP['ldap_use_domain_prefix'] = true;

$PMF_LDAP['ldap_use_memberOf'] = true;
$PMF_LDAP['ldap_mapping']['memberOf'] = 'cn=FAQ_USERS,ou=Gruppen,dc=domain1,dc=net';

$PMF_LDAP['ldap_use_multiple_servers'] = true;

ldap.php

Code: Select all

// Main LDAP server
$PMF_LDAP['ldap_server'] = 'domain1.net';
$PMF_LDAP['ldap_port'] = 389;
$PMF_LDAP['ldap_user'] = 'faq@domain1.net';
$PMF_LDAP['ldap_password'] = 'passw0rd';
$PMF_LDAP['ldap_base'] = 'dc=domain1,dc=net';


// More LDAP servers
// You can as much as you like, please activate them in config/constants_ldap.php, not supported currently
$PMF_LDAP[0]['ldap_server'] = 'domain2.net';
$PMF_LDAP[0]['ldap_port'] = '389';
$PMF_LDAP[0]['ldap_user'] = 'faq@domain2.net';
$PMF_LDAP[0]['ldap_password'] = 'passw0rd';
$PMF_LDAP[0]['ldap_base'] = 'dc=domain1,dc=net';

leider funktioniert so gar kein login - nur der lokal erstellte admin durfte sich noch anmelden. kein AD user :(
Nur wenn ich

Code: Select all

$PMF_LDAP['ldap_use_multiple_servers'] = false;
setze. Können die User aus der Gruppe aus domain1.net sich anmelden.

jemand eine idee? braucht ihr mehr infos?

gruß
hadro
Thorsten
Posts: 15560
Joined: Tue Sep 25, 2001 11:14 am
Location: #phpmyfaq
Contact:

Re: LDAP Frage: 3 Domains + Group

Post by Thorsten »

Hi,

das funktioniert erst ab Version 2.9, die noch in Arbeit ist. Ich habe das aber mal für jemanden in die Version 2.8 gepatcht, wenn Interesse besteht, einfach per Mail melden.

bye
Thorsten
phpMyFAQ Maintainer and Lead Developer
amazon.de Wishlist
hadro
Posts: 3
Joined: Tue Mar 25, 2014 2:49 pm

Re: LDAP Frage: 3 Domains + Group

Post by hadro »

Hallo Thorsten,

(Nein, ich bin kein Leichenschänder, aber warum einen neuen Thread starten für die gleiche Frage?) :mrgreen:

2.9.1 ist draußen! Ist fertig installiert und die Anmeldung über mehrere Domänen funktioniert einwandfrei. Sieht auch toll aus! Wieder sehr gute Arbeit.

Bis auf ... ich würde gerne die Option "memberOf" verwenden um nur bestimmten Benutzern aus den jeweiligen Domänen zugriff auf das FAQ zu geben.
Da sich mittlerweile wichtige Informationen da drinne gesammelt haben, wäre es ganz und gar nicht gut, wenn "jeder" darauf Zugriff hätte.

Ich kann die Option auf "true" setzen und den kompletten Pfad zu einer Gruppe angeben, (Security Group - Domain local). Dort habe ich die Benutzer aus allen Domains eingetragen.

Code: Select all

$PMF_LDAP['ldap_use_memberOf'] = true;
$PMF_LDAP['ldap_mapping']['memberOf'] = 'cn=FAQ_USERS,ou=Gruppen,dc=ASD,dc=net';
Die angegebenen User aus der ersten Domain können sich anmelden. Die anderen leider nicht. Sobald ich die Option auf "false" stelle, funktioniert die Anmeldung, aber leider für alle Benutzer.


Versucht habe ich auch schon in der constants_ldap.php diese 2 Zeilen auszukommentieren und dafür in die ldap.php die Eintrage mit der Domain "ID" zu verwenden

Code: Select all

$PMF_LDAP['ldap_use_memberOf'] = true;
$PMF_LDAP['ldap_mapping']['memberOf'] = 'cn=FAQ_USERS,ou=Gruppen,dc=ASD,dc=net';

$PMF_LDAP[1]['ldap_use_memberOf'] = true;
$PMF_LDAP[1]['ldap_mapping']['memberOf'] = 'cn=FAQ_USERS,ou=Gruppen,dc=ASD22222222,dc=net';
das klappt leider nicht. Bevor ich jedoch alle meine weiteren Versuche aufzähle direkt die Frage:

Kann ich die memberOf Funktion direkt auf eine/mehrere Domäne(n) anwenden, und pro Domäne eine eigene Gruppe anlegen, welche die Loginrechte verwaltet?

Oder gibt es da einen anderen Workaround?

Vielen Dank für die kommende Hilfe :)

Gruß
Christof
Thorsten
Posts: 15560
Joined: Tue Sep 25, 2001 11:14 am
Location: #phpmyfaq
Contact:

Re: LDAP Frage: 3 Domains + Group

Post by Thorsten »

Hi,

vielen Dank! :-)

Zum Thema mehrere Gruppen bei LDAP: Vorab, ich bin kein AD/LDAP Experte. Ich habe mir den Code mal angesehen und ich denke, man könnte über mehrere Gruppen iterieren und die LDAP-Abfrage so auf mehrere Gruppen zu erweitern.

bye
Thorsten
phpMyFAQ Maintainer and Lead Developer
amazon.de Wishlist
hadro
Posts: 3
Joined: Tue Mar 25, 2014 2:49 pm

Re: LDAP Frage: 3 Domains + Group

Post by hadro »

Hallo,

vielen Dank für deine Antwort... Wie würde dein Vorschlag den in der Config Datei aussehen?
Kannst du mir ein Beispiel geben?

Danke
Gruß
Thorsten
Posts: 15560
Joined: Tue Sep 25, 2001 11:14 am
Location: #phpmyfaq
Contact:

Re: LDAP Frage: 3 Domains + Group

Post by Thorsten »

Hi,

da würden die "memberOf"-Einträge analog der verschiedenen LDAP-Server aussehen.

bye
Thorsten
phpMyFAQ Maintainer and Lead Developer
amazon.de Wishlist
Post Reply