Sync von externen LDAP Benutzern?

FYI

Hallo liebe grommunio Community,

wir setzen aktuell Univention als Groupware ein und haben dort auch unseren LDAP entsprechend laufen. Jetzt wollte ich mich bei euch einmal kurz erkundigen, ob man LDAP Daten von extern in grommunio importieren kann, um ein manuelles Übertragen der Daten zu verhindern?

Danke im voraus.

WalterH

Die Frage verstehe ich nicht, bitte genauer erklären?

FYI

Na wir haben aktuell Univention als Groupware laufen und falls die Evaluierung von grommunio ergibt, dass wir umsteigen wollen, würden wir die LDAP Benutzer gerne ins grommunio umziehen, um die Benutzer nicht einzelnd erneut anlegen zu müssen.

WalterH

Eine Möglichkeit ist, LDAP einrichten, die User importieren. Dann in jedem User auf DETACH klicken, damit den User vom LDAP abhängen und ein Passwort setzen. Zuletzt die LDAP Konfiguration löschen.

mwilliams

WalterH

Oder einfach direkt an das Univention anbinden und auch direkt zur Authentisierung nutzen. Dazu ist doch ein zentrales LDAP da, oder?

WalterH

mwilliams Ich hatte das so verstanden, das die User nur angelegt werden sollen aber LDAP nicht zur Auth. verwendet wird - möglicherweise habe ich das auch falsch verstanden.

auh

Ich habe da ein ähnliches Setup, grommunio ist an einen seperaten OpenLDAP Server angebunden, leider können die User in der WebApp aber nicht ihr Passwort dort ändern.

WalterH

auh Passwort Änderung funktioniert nur, wenn die User in der Maria DB also lokal angelegt sind. grommunio schreibt keine Werte ins LDAP zurück.

mwilliams

WalterH

Korrekt. Wird auch nicht kommen, denn grommunio wird oftmals vor LDAP Proxies/Balancer oder z.B. RODCs betrieben - grommunio hat hier auch keine Möglichkeit ein PWUPDATE. Zudem kommen in den meisten Directories password policies zum Einsatz die grommunio nicht abrufen kann. Mit grommunio-auth zusammen mit grommunio-keycloak ist dies jedoch mit der "Forgot Password"-Funktion umsetzbar: https://www.keycloak.org/docs/latest/server_admin/#enabling-forgot-password - Allerdings auch nur, wenn diese eben nicht mit einem RODC oder Load Balancer dahinter arbeiten.

auh

Leider kenne ich mich nicht mit keycloak aus, hatte da eher schlechte Erfahrungen mit (für mich sehr kompliziert).
Aber ist damit dann folgendes Szenario möglich ?

OpenLDAP <------> keycloak <-----> grommunio

Bisher habe ich dafür eine "Bastellösung" über einen Webserver der nur per 2FA erreichbar ist. Dort kann der User dann sein Passwort im LDAP ändern. Ich habe absolut keine Windows Rechner, nur Linux und Smartphones (iOS/Android).