• General
  • Grommunio - LDAP Univention - Windows

Hallo,

ich versuche gerade schon seit 5-6 Stunden ein Univention Server per LDAP anzubinden und es geht nicht.

Dazu hätte ich mal ein paar Fragen. Ich habe einen Server aber 2 Mail Domänen.

  1. Ich kann an 3 Stellen LDAP einrichten. Welche ist die richtige?

1.1 ldap_adaptor.cfg
1.2 Admin - LDAP Directory
1.3 Admin - Organizations - Domain anklicken - Show LDAP Config

  1. Ich habe die Datei erstellt, Verbindung geht aber die Benutzer aus dem LDAP werden nicht der Domain zugerodnet.

mail:~ # ls -ahltr /etc/gromox/ldap_adaptor.cfg
-rw-rw---- 1 grommunio gromoxcf 775 Jul 23 13:53 /etc/gromox/ldap_adaptor.cfg
mail:~ #

Configuration automatically generated by grommunio-admin.

ldap_host=ldap://192.168.15.1:636
ldap_bind_user=cn=administrator,cn=users,dc=test,dc=lan
ldap_bind_pass=PASSWORT
ldap_start_tls=False
ldap_search_base=dc=test,dc=lan
ldap_object_id=objectGUID
ldap_mail_attr=mail
ldap_user_displayname=displayName
ldap_user_filter=(objectClass=user)
ldap_contact_filter=(objectclass=contact)
ldap_user_search_attrs=mail
ldap_user_search_attrs=givenName
ldap_user_search_attrs=cn
ldap_user_search_attrs=sn
ldap_user_search_attrs=name
ldap_user_search_attrs=displayName
ldap_user_templates=common
ldap_user_templates=ActiveDirectory
ldap_user_aliases=proxyAddresses
ldap_group_addr=mail
ldap_group_filter=(objectclass=group)
ldap_group_name=cn
ldap_group_memberof=memberOf

mail:/etc/gromox # grommunio-admin ldap reload
Reload successful

mail:~ # grommunio-admin ldap info
Successfully connected to 192.168.15.1:636 as cn=administrator,cn=users,dc=test,dc=lan

  1. Habe dann unter Univention noch den Windows Domänencontroller installiert. Hatte aber leider auch nichts gebracht.

    roti1002 1.1 ldap_adaptor.cfg
    1.2 Admin - LDAP Directory

    Das ist das selbe. admin-web beschreibt die Datei.

    roti1002 1.3 Admin - Organizations - Domain anklicken - Show LDAP Config

    Das geht in die mysql-datenbank

    Was nun das richtige ist.. naja.. ansichtssache.. privatnutzung kann einfach mit der ersten variante betrieben werden da ich kaum glaube das da jemand mehrere ldap's dran hängt.

    Und ansonsten kommt es drauf an ob man sich den aufwand machen möchte oder ob man es direkt braucht und gar nicht mehr drüber nachdenkt.

    roti1002 ldap_host=ldap://192.168.15.1:636
    ldap_bind_user=cn=administrator,cn=users,dc=test,dc=lan
    ldap_bind_pass=PASSWORT
    ldap_start_tls=False

    Zertifikat geht auch da du 636 angegeben hast. Evtl. mal kurz testen ob 389 geht und dann weiter schauen.
    Ansonsten nach /usr/share/pki/trust/anchors/ und update-ca-certificates ausführen.
    EDIT: Und eigtl. kann man den port auch weglassen wenn man mit ldap:// oder ldaps:// benutzt.

    Und ja, der check sagt zwar alles ok aber anmelden geht nicht. Das habe ich schon öfter so gesehen.

      roti1002 1.1 ldap_adaptor.cfg
      1.2 Admin - LDAP Directory
      1.3 Admin - Organizations - Domain anklicken - Show LDAP Config

      1. sollte man nicht angreifen oder nur manuelle Korrekturen, wenn man weiß was man tut. Wird vom Admin-UI geschrieben.
      2. Wenn man nur eine Domain hat aus der die User kommen, hier einrichten.
      3. Wenn man mehrere Firmen mit unterschiedlichen LDAP-Quellen hat, für jede Firma eine Domain anlegen, die Domain in eine Organisation legen und das LDAP für die Organisation einrichten, wird im privat Umfeld eher nicht benötigt, für Hoster aber notwendig.

      Hi @roti1002

      als erstes sollte in der LDAP Konfiguration das Template für Univention ausgewählt werden.
      ActiveDirectory verwendet Attribute die es so auf dem UCS nicht gibt.
      Dann wird natürlich auch nichts gefunden.

      Grüße
      Tobi

        Tobias

        crpb

        Generell empfehlen wir auch den Einsatz der Ports 7389 oder 7636, diese steuern den openLDAP und nicht den Samba4 an, was alles schneller macht.

        • crpb replied to this.
          5 days later

          mwilliams Generell empfehlen wir auch den Einsatz der Ports 7389 oder 7636, diese steuern den openLDAP und nicht den Samba4 an, was alles schneller macht.

          Du meinst für univention? Wenn ja, good-to-know!. Hab selbst nie direkt mit gearbeitet. Hab entweder MS oder Samba bei mir.

          Das macht das template aber nicht wobei ich glaub das macht da gar nicht dran rum. Evtl. als pop-up/hilfetext mit in den admin-web?

          © 2020-2024 grommunio GmbH. All rights reserved. | https://grommunio.com | Data Protection | Legal notice