I would just put them in a group and set a ldap filter

ldap_user_filter=(&(memberOf=cn=grommunio,OU=Groups,OU=Accounts,OU=A,DC=B,DC=DE)(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

with that you will only get them

    madadmin Could not find LDAP object matching 'mad@gruenag.local'

    and that could not find.. well... did you already filter something or use a base where that user isn't listed. and did you create the domain gruenag.local prior to it?

      Best way to see what you would find is using

      grommunio-admin ldap search @
# and this for really lookin into it
grommunio-admin ldap dump @

      At least if you wanna omit anything w/o an email and no filters at all

      madadmin Do you have an organization configured? If yes, you must specify the correct organization.
      grommunio-admin ldap downsync -o ORGANIZATION MAILADDRESS

        crpb Yeah this would be the preferred method, but didnt got how 2 in that Moment!
        Do i have to add this in group filter?
        I crated an new group :
        CN=Grommunio_ldap_group,OU=Grommunio,OU=Test,OU=Administrative Gruppen,OU=Administration,DC=gruenag,DC=local
        Deutsch geht auch wenn es besser ist

          The downsync command needs the organization parameter as stated above.

            WalterH No i mean in the webgui or can i just use manually with grommunio-admin ldap downsync with groups?

            When i use
            grommunio-admin ldap dump user CN=Grommunio_ldap_group,OU=Grommunio,OU=Test,OU=Administrative Gruppen,OU=Administration,DC=gruenag,DC=local
            or
            grommunio-admin ldap dump user "(memberOf=CN=Grommunio_ldap_group,OU=Grommunio,OU=Test,OU=Administrative Gruppen,OU=Administration,DC=gruenag,DC=local)"
            I get users, but none of them are in this group
            Can i edit the command to include looking just in memberOf: ad attributes of the users?

              i moved the OU with the new group in the vonfigured ad user ou - i thought it could just show anything in here but still wrong or no user listed:
              grommunio-admin ldap dump user "(memberOf=grommunio-admin ldap dump user CN=Grommunio_ldap_group,OU=Grommunio,OU=Test,OU=Systembenutzer,OU=Benutzer,DC=gruenag,DC=local)"
              grommunio-admin ldap dump user CN=Grommunio_ldap_group,OU=Grommunio,OU=Test,OU=Systembenutzer,OU=Benutzer,DC=gruenag,DC=local
              The ldap basedn is configured with OU=Benutzer,DC=gruenag,DC=local
              Where can i lookup how to syntax my commands - all i can find is the same which doesnt function for me like here.
              Whats the ldap part based from python3-ldap3 or openldap2?

              with:
              ldapsearch -x -H ldap://dcip -D "CN=awx_ldap,OU=Systembenutzer,OU=Benutzer,DC=gruenag,DC=local" -w 'mysupersecureldappassword-plzdontlook' -b "dc=gruenag,dc=local" "(&(objectClass=user)(memberOf=CN=Grommunio_ldap_group,OU=Grommunio,OU=Test,OU=Systembenutzer,OU=Benutzer,DC=gruenag,DC=local))"`
              I get my user - the only user added in the Group right now:

              With grommunio-admin:

              6 days later

              @WalterH @crpb Ich merke gerade ich habe generell gerade Probleme auf das AD zuzugreifen:
              Wenn ich etwas an dem LDAP Folder ändere werden die Einstellungen erst übernommen, wenn ich grommunio neu starte und es gibt eine gruppe die der städig mit dden richtigen usern abgleichen kann und die user die richtig sing bei denen geht das Login nciht, weil die passwörter nicht gehen

              Das kann man auch in nen cronjob / systemd.service+timer packen aber von alleine macht er das nicht meines wissens. Ansonsten in der weboberfläche halt bei ldap händisch syncen..

              So... grad mal ne funktion zusammengewürfelt..

              grom-test-2:~ # type grom_downsync
grom_downsync is a function
grom_downsync ()
{
        unset orgs;
        orgs=$(grommunio-admin domain query --format=csv orgID |uniq | sed '/^orgID/d;s/\r/ /g');
        for org in $orgs;
        do
                grommunio-admin ldap downsync --complete --organization $org;
        done;
}

                crpb
                Ja nurkann ich mich mit keinen der User mit dessen ad Passwörtern anmelden - dass eine Bruppe falsch gesynct wird manuell obwohl ich nur attribut person esetzt hatte


                Das Importierender User kann man ja über webhook/api triggern, wenn ich einen euen AD user ertellt habe über absible oder so.
                Ich habe den Server schon komplett neu installiert und nciht nur neu initialisiert und das Problem ist Identisch geblieben, also eher kein Bug im System - den Provider mit dem ich in Kontakt stee hat sich das angesehen und war auch überfragt und will es an Seine Kontakte bei Grommunio weitergeben.
                Ich Frage noch zusätzlich hier, evtl habt ihr was ähnliches gehabt, oder known bug usw.

                  Also bezgl. Gruppe sieht das aus als wäre die Domain nicht bekannt da gruppenmitglieder nur aus den bekannten Domains sein dürfen oder ist diese auch mit eingepflegt und falls Organisation auch in der gleichen?
                  EDIT: das sollte auch halbwegs ersichtlich sein mittels grommunio-admin wobei ich hatte damals das nur für Nutzer eingeschickt hatte. Müsste selbst noch mal schauen ob er bei gruppen was ordentliches ausspuckt oder ob man das evtl. erweitern könnte.
                  EDIT2: sollte man sehen können? .. wobei wenn ich das richtig intepretiere mit meinen grundschul python skills geht das nur auf die gleiche domain?

                  Das mit dem einloggen.. ich kenne das problem wenn man ssl/tls auf ldap aktiviert aber kein für das grommunio-system bekanntes zertifikat nutzt. Downsync und so kann zwar gehen aber beim authentifizieren schlägt er dann fehl.
                  Aber oben deine ldapsearch beispiele zeigen unverschlüsselt was ja auch ok sein kann und dann habe ich solches verhalten auch noch nicht beobachten können.

                    crpb
                    Die Gruppe ist in der gleichen Domain nur hat irgendwer in dem Feld Email, wo bei den usern die richtige mail ist eine eher untypische mail hinterlegt wurde.
                    Wir haben keienn Exchange sondern ein sehr altes maildove/postfix Mailserver ohne LDAP und es gibt eigentlich keine Mailkonten für gruppen nur klassiker, wie info@ usw.
                    Vielleicht ist nur die gruppe zu sehen weil es dem filter der Domain nicht enstprcjt als einziges AD Objekt.

                    Ich werde dann mal die user ohne die STARTTLS neu syncen und versuchen mich anzumelden..............

                      Ja oder halt das zertifikat einbinden... dat müsste /usr/share/pki/trust/anchors/ in SuSe sein und dann update-ca-certificates (jo in der man der auch der pfad 😛)

                        crpb Ich habe mal die alte installation dessen Snapshot wiederhergestellt und damit geht es ohne das STARTTLS sich anzumelden.
                        Muss dann im AD(?) Ein angeres Zertifikat hinterlegen oder muss ich das was ich für die domain genommen habe für https irgendwie in der DA hinterlegen?

                          crpb Die Domain hat ssl ich muss nur das Grommunio openldap vermutlich anpassen, dass dass die domain certkram in Vertrauenswürdig sit

                            Das stammzertifikat der lokalen domäne. Also bei nem windows netz mit zertifikatsdienst/server kannste ja einfach jenes exportieren und dann auf dem server entsprechend mittels dem update-ca-certificates einbinden.
                            https://learn.microsoft.com/en-us/troubleshoot/windows-server/certificates-and-public-key-infrastructure-pki/export-root-certification-authority-certificate

                            Bei nem samba-ad-dc das /var/lib/samba/private/tls/ca.pem wenn ich mich nun nicht irre o_0.

                            Wenn es ein AD ist, in der LDAP Konfiguration LDAPS ohne Start TLS verwenden, z.B.:

                            ldaps://icc-ad1.xxxx.local ldaps://icc-ad2.xxxx.local

                            Die Datei /etc/openldap/ldap.confergänzen:

                            URI ldaps://icc-ad1.xxxx.local ldaps://icc-ad2.xxxx.local
                            BASE OU=XXX,DC=xxxxx,DC=local
                            TLS_REQCERT allow

                            Das TLS_REQCERT allow ist wichtig.

                            Grund: das Admin-UI ist in Python geschrieben und Python akzeptiert fast jedes Zertifikat, der Kernel gromox verwendet eine SSL Library und die ist heikler, da muss man dann TLS_REQCERT allow setzen.
                            gromox-zcore und gromox-http restarten, dann sollte es funktionieren. Eine gültige LDAP Konfiguration vorausgesetzt.

                            Ergänzung: URI und BASE müssen wie in der /etc/gromox/ldap_adaptor.cfg gesetzt sein.

                            Also ich mache das mittels update-ca-certificates und dann halt

                            |      1 | ldap_uri               | ldaps://bxxxx...local:636 ldaps://mxxx..local:636

                            des war nun aus der sql tabelle wegen org ldap aber selbe in grün.

                            kein anpassen in der ldap.conf notwendig gewesen.

                              © 2020-2024 grommunio GmbH. All rights reserved. | https://grommunio.com | Data Protection | Legal notice