• Recent
    • Tags
    • Popular
    • Users
    • Groups
    • Search
    • Register
    • Login

    Neuer ChurchTools LDAP-Wrapper [Node.js]

    Tipps & Tricks
    owncloud ldap
    7
    18
    4.8k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • miluxM
      milux
      last edited by

      Es gibt auch noch eine technische Limitierung, die es bisher verhindert, das ganze über RADIUS anzubinden:
      Da in der DB von CT die Daten mit einem sicheren Hashverfahren (bcrypt) gesichert sind, kann der LDAP-Server nur Plaintext-Anmeldungen. Für jedes andere Verfahren müssten die Passwörter im passenden Hash-Format vorliegen, was eine Anpassung von ChurchTools (inkl. erheblicher Schwächung der Sicherheit) erfordern würde, Plus einen Passwortwechsel aller Personen. Not gonna happen...
      Dasselbe Problem könnte auch der Endgegner bei der Synology-Integration werden. 😞

      Auto-Updater (Co-)Developer, ctldap Developer
      ChurchTools Version: 3.x latest (Auto-Updater)
      Hosting: PHP 8.1 (via FPM, Apache 2.4 mit nginx Reverse Proxy)

      1 Reply Last reply Reply Quote 0
      • sctechS
        sctech
        last edited by

        Danke für deine Antwort! Schon mal gut, dass unsere Erkenntnisse übereinstimmen 😉 Ich werde mich auf jeden Fall in nächster Zeit mal noch eingehender mit der Anbindung zu Synology beschäftigen und ggf. bei deren Support auch eine Spezifikation anfordern.

        Das Einzige, was ich zu RFC 2307 gefunden habe:
        https://www.rfc-editor.org/pdfrfc/rfc2307.txt.pdf
        http://www.mitlinx.de/ldap/index.html?http://www.mitlinx.de/ldap/ldap_schema.htm

        miluxM 1 Reply Last reply Reply Quote 0
        • miluxM
          milux @sctech
          last edited by

          @seetalchile Der komplette RFC ist mir zu umfangreich für ein Hobbyprojekt, und der andere Link erzählt nur Sachen, die ich schon weiß. Ich weiß, dass die User vom Typ posixAccount sein müssen, aber was dann genau ins Schema rein muss, und ob es überhaupt machbar ist, steht in den Sternen...

          Auto-Updater (Co-)Developer, ctldap Developer
          ChurchTools Version: 3.x latest (Auto-Updater)
          Hosting: PHP 8.1 (via FPM, Apache 2.4 mit nginx Reverse Proxy)

          1 Reply Last reply Reply Quote 0
          • sctechS
            sctech
            last edited by

            Ich bin zur Zeit in Kontakt mit dem Support von Synology. Zu meiner Frage nach einer exakten Spezifikation zur Anbindung des LDAP-Clients werde ich noch eine Rückmeldung erhalten. Dies sei bei der Entwicklungsabteilung nun in Abklärung.

            Vorab habe ich bereits einmal die Antwort erhalten, dass sich die Schnittstelle an die Vorgaben von LDAP v3 (RFC 2251) halte: https://www.rfc-editor.org/rfc/pdfrfc/rfc2251.txt.pdf

            Ich halte auf dem Laufenden...

            1 Reply Last reply Reply Quote 1
            • sctechS
              sctech
              last edited by

              Ich habe nun eine Schemadatei von Synology erhalten, kann aber nicht viel daraus lesen. @milux Evtl. kannst du etwas damit anfangen?
              https://www.dropbox.com/s/pd651y4inn9bb7g/syno.schema.zip?dl=0

              1 Reply Last reply Reply Quote 0
              • miluxM
                milux
                last edited by

                Die Attribute beginnen praktisch alle mit "syno", also muss es eine Beschreibung von einem Synology-spezifischen Format sein. Das hilft uns gar nicht weiter.
                Ich fürchte, du hast dein Anliegen entweder nicht richtig erklärt, oder bist an einen inkompetenten Kontakt geraten, denn so wie es aussieht, haben sie nicht wirklich verstanden, was wir brauchen...

                Auto-Updater (Co-)Developer, ctldap Developer
                ChurchTools Version: 3.x latest (Auto-Updater)
                Hosting: PHP 8.1 (via FPM, Apache 2.4 mit nginx Reverse Proxy)

                1 Reply Last reply Reply Quote 0
                • T
                  tomzi
                  last edited by

                  Eine andere Frage... Kann der Wrapper auch mit den von church.tools gehosteten Servern verwendet werden?
                  Oder
                  Kann der CT Wrapper auf einem anderen Server als CT installiert werden und die Daten von einem externen (zb von church.tools) gehosteten server 'abholen'?

                  1 Reply Last reply Reply Quote 0
                  • mhuberM
                    mhuber ChurchToolsMitarbeiter
                    last edited by

                    @tomzi : ja das ist möglich. Einfach den ctldap irgendwo betreiben und in der ctldap.config die richtige URL für die ChurchTools-Instanz eintragen. (https://xyz.church.tools)

                    1 Reply Last reply Reply Quote 0
                    • sctechS
                      sctech
                      last edited by

                      @milux Wir sind aktuell dabei, CTLDAP in Verbindung mit NextCloud zu testen. Dies funktioniert alles ganz prima - danke! Nun ist ein Anliegen aufgekommen: Gerne würden wir nicht immer ganze Grupppen, sondern nach Teilnehmerrollen unterschiedlich berechtigen.

                      Beispiel:

                      Kurs xyz

                      • Leiter haben schreibenden Zugriff auf die Gruppenordner abc und def

                      • Teilnehmer haben lesenden Zugriff auf den Gruppenordner abc

                      Ist es richtig, dass dieses Szenario zur Zeit nicht möglich ist?

                      Wenn ich das Prinzip richtig verstehe, müsste in diesem Fall pro GRUPPE-ROLLE-Kombination eine LDAP-Gruppe ausgegeben werden. Wäre eine solche Umsetzung denkbar? In diesem Fall könnten dann auch Leute mit Teilnehmerrolle "Anfrage" bzw. "zu löschen" besser abgegrenzt werden.

                      D 1 Reply Last reply Reply Quote 1
                      • D
                        drstone @sctech
                        last edited by

                        Hallo zusammen.

                        Cool das es hier weiter geht, Danke Milux für deine Arbeit.

                        Wir haben noch den originalen ldap wrapper am laufen, allerdings mit einigen Anpassungen das es funktionierte. Ich werd das bei Gelegenheit auf deinen Wrapper umstellen.

                        @seetalchile, die gleiche Anforderung ist bei uns auch aufgekommen, die Rolle als Berechtigung in Own/Nextcloud verwenden zu können.

                        Außerdem eine Gruppenvererbung, also das jemand in der Gruppe "Gottesdienst" auch zugriff auf Ordner der untergeordneten Gruppe "Musik" hat.

                        1. dürfte sich nur mit "Gruppe_rolle" oder ähnlichem abbilden lassen, für 2. hab ich gar keine Idee. Aber vielleicht jemand anderes? 😉
                        1 Reply Last reply Reply Quote 0
                        • koehdanielK
                          koehdaniel
                          last edited by

                          Hallo,

                          gibt es zu dem Punkt "GRUPPE-ROLLE-Kombination" schon etwas neues oder ist hier absehbar, wann es eine Lösung geben wird?

                          Wir möchten gerne in Zukunft nur die Leiter einer Gruppe dazu Berechtigen ihre Seite in Wordpress bearbeiten zu können. Aktuell wäre leider jeder Teilnehmer hierzu in der Lage.

                          Gruß Daniel

                          B 1 Reply Last reply Reply Quote 0
                          • B
                            bwl21 @koehdaniel
                            last edited by

                            ich hole das Thema wieder hoch ... gibt es da ansäzt ausser die Gruppenrollen ganz aufzugeben?

                            D 1 Reply Last reply Reply Quote 0
                            • D
                              drstone @bwl21
                              last edited by

                              Hallo Daniel.

                              Ich hatte letztes Jahr mal was gebaut, das CTS in der Gruppenliste zusätzlich zu jeder Gruppe noch die Gruppen/Rollen Kombination ausgibt.

                              Also gibt es dann im Ldap eine Gruppenliste die so aussieht:

                              • Hauskreis
                              • Hauskreis@Leiter
                              • Hauskreis@Teilnehmer
                              • ...

                              Optimalerweise erstellt man hierfür noch ein Gruppenflag und exportiert diese RollenGruppen nur für die mit Flag, da das nicht unbedingt bei allen Gruppen so notwendig ist und die Liste extrem lang wird, aber damit funktioniert die Nextcloud Freigabe.

                              Hatte bei mir so funktioniert, aber hatte (und habe) keine Zeit das näher zu verfolgen. Ich hab in der CT Funktion für die Gruppenliste ein zusätzlichen Parameter hinzugefügt und diesen Parameter vom CtLdap client gesetzt, sodas das auch keine Auswirkung auf sonstige Anwendungen hat.

                              Wenn das jemand probieren oder weiterverfolgen will stell Ich gern meine Codeschnipsel zur Verfügung.

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post