• Recent
    • Tags
    • Popular
    • Users
    • Groups
    • Search
    • Register
    • Login

    CT LDAP und Synology

    ChurchTools Schnittstellen
    chat synology ldap
    8
    18
    2.0k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      eppjo
      last edited by

      Bin gerade mit dem Versuch der Einrichtung gescheitert.
      Wenn ich mich an die Anweisung vom Support halte, kommt immer die Meldung: The LDAP server is not supported.
      Führe ich aber das ldapsearch Kommando in der Kommandozeile aus, bekomme ich die Auflistung aller registrierten Benutzer.

      War jemand erfolgreich, seine Synology per LDAP-Client mit dem LDAP-Server von CT zu verbinden?
      Hat jemand hierbei Erfahrungen gesammelt?

      Ziel dieser Aktion ist es, die Stammdatenpflege in Churchtools zu belassen, und Benutzern und Gruppen für Funktionen in der Synology zu berechtigen.
      Im Speziellen wollen wir die Chat-App der Synology für die Team-Kollaboration verwenden, anstelle anderer Systeme wie Rocket.chat oder Slack.

      Hat jemand diese Kombination auch angedacht, oder - noch besser - bereits am Laufen?

      LG
      Johannes

      1 Reply Last reply Reply Quote 0
      • E
        eppjo
        last edited by

        Nur, falls jemand nach Antworten auf dieselbe Frage sucht: wir haben es aufgegeben, die Synology per LDAP mit CT zu koppeln.
        Nach dem Hinweis von Matthias Huber auf Nextcloud zu setzen (bei Hetzner: StorageShare - würde aber auch auf einer Synology laufen), sind wir mittlerweile sehr froh, da Zugangsberechtigung per LDAP und die Datenablage wirklich gut funktioniert.
        An einer Chat-Funktion entwickelt CT auch gerade und soll demnächst auch verfügbar sein.

        S 1 Reply Last reply Reply Quote 0
        • C
          christophEFG-GI
          last edited by

          Hallo Johannes @eppjo,

          würdest du euer Setup einmal genauer beschreiben? Das klingt sehr gut. Wir bauen gerade eine Dateiablage mit umständlichem separaten Rechtemanagement bei Hetzner auf.

          • Habt ihr eine eigene Chruchtools-Instanz oder nutzt ihr die gehostete?
          • Gibt es eine Doku, wie man CT mit Hetzner koppelt?
          • Welche Erfahrungen kannst du teilen, um andere vor Fehlern zu bewahren?

          Viele Grüße,
          Christoph

          E 1 Reply Last reply Reply Quote 0
          • E
            eppjo @christophEFG-GI
            last edited by eppjo

            @christophEFG-GI
            Hallo Christoph,

            Unsere Instanz ist von CT gehostet mit aktivierten LDAP Dienst.
            Habe hier im Forum eine gute Beschreibung zur Konfiguration der Nextcloud Instanz gefunden:
            https://forum.church.tools/topic/5651/churchtools-ldap-nextcloud

            Vorbedingung ist aber ein funktionierender LDAP Dienst, den du gemeinsam mit dem CT Service konfigurierst.
            Anschließend die Anleitung von @aschild folgen.

            ... oder alternativ unsere Einstellung versuchst:
            site == eure CT Instanz

            Tab: Server:
            LDAP-Server: ldaps://ldap.church.tools:636
            Basis-DN: dc=ldap,dc=church,dc=tools
            Benutzer-DN: cn=root,ou=users,o=site
            Passwort: das von dir vergebene Passwort für deinen CT LDAP Benutzer
            LDAP-Filter manuell: aktiviert!

            Tab: Benutzer:
            Filter: (|(objectclass=CTPerson))

            Tab: Anmelde-Attribute
            Filter: (&(&(|(objectclass=CTPerson)))(|(uid=%uid)(|(mailPrimaryAddress=%uid)(mail=%uid))))

            Tab: Gruppen
            Filter: (&(|(objectclass=CTGroupDienst)(objectclass=CTGroupKleingruppe)))
            (Damit können sich alle Mitglieder vom Gruppen-Typ Dienst und Kleingruppe anmelden)

            Tab: Fortgeschritten
            -> Ordnereinstellungen
            Feld für den Anzeigenamen des Benutzers: displayname
            Basis-Benutzerbaum: ou=users,o=site
            Feld für den Anzeigenamen der Gruppe: cn
            Basis-Gruppenbaum: ou=groups,o=site
            Assoziation zw. Gruppe und Benutzer: uniqueMember

            Vorbedingung für die Anmeldung bei Nextcloud ist die erfolgreiche Einladung der Mitglieder bei CT mitzuarbeiten. Erst dann existiert ein Benutzername.

            Wir haben dann nach erfolgreicher Kopplung Ordner im Home des Admins angelegt mit den Gruppennamen und diese dann geshared mit der Gruppe selbst. Alle Mitglieder einer Dienstgruppe oder Kleingruppe sehen dann nur die Ordner zu denen sie Berechtigung haben.

            Mit was ich gerade teste sind Ablaufpläne, die ich nach Songbeamer überspielen will. Da existiert bereits ein Tool: https://gitlab.com/PublicCode/churchtools-to-songbeamer
            Leider ist das nicht ausreichend, da die Bibelstellen immer noch manuell eingetragen werden müssen.
            Ich arbeite gerade an einer speziellen Anpassung des Migrations-Tools, das die Notiz in Spalte "Programm" des Ablaufplans nutzt, um die Bibelstellen der jeweiligen Predigt/Einleitung auch zum Songbeamer migriert.

            Bei allem anderen sind wir selber noch auf der Suche nach einer guten Lösung 🙂

            Ich hoffe dir damit helfen zu können. Viel Erfolg.
            Johannes.

            1 Reply Last reply Reply Quote 1
            • E
              eppjo
              last edited by

              This post is deleted!
              1 Reply Last reply Reply Quote 0
              • E
                eppjo
                last edited by

                This post is deleted!
                1 Reply Last reply Reply Quote 0
                • S
                  sitobias @eppjo
                  last edited by

                  @eppjo sagte in CT LDAP und Synology:

                  Nur, falls jemand nach Antworten auf dieselbe Frage sucht: wir haben es aufgegeben, die Synology per LDAP mit CT zu koppeln.
                  Nach dem Hinweis von Matthias Huber auf Nextcloud zu setzen (bei Hetzner: StorageShare - würde aber auch auf einer Synology laufen), sind wir mittlerweile sehr froh, da Zugangsberechtigung per LDAP und die Datenablage wirklich gut funktioniert.
                  An einer Chat-Funktion entwickelt CT auch gerade und soll demnächst auch verfügbar sein.

                  Mittlerweile ist ja bereits wieder etwas Zeit vergangen... Gibt es jemanden, der es unterdessen hingekriegt hat, die Benutzerdaten per LDAP mit Synology zu synchronisieren?
                  Oder ist es wirklich notwendig auf Nextcloud umzusteigen, ggf. auf unserer Synology (ist halt ein neues System, viel Aufwand alles einzurichten und hat ggf. nicht alle Funktionen, welche ich momentan bei Synology nutze, daher die Frage).

                  1 Reply Last reply Reply Quote 0
                  • S
                    samu95
                    last edited by

                    Ich bin auch gerade dabei, die Synology mit dem LDAP zu verbinden. Scheitere an der Konfiguration mit folgendem Fehler:

                    e7b60d0b-54d1-4a10-b610-f11aaaba35df-image.png

                    Selbst wenn ich als Filter "(|(objectclass=CTPerson))" eingebe, komme ich nicht weiter.
                    Über ldapsearch bekomme ich die Verbindung hin, auch die Nextcloud ist bereits verbunden.

                    1 Reply Last reply Reply Quote 0
                    • S
                      samu95
                      last edited by

                      Hat noch keiner eine Verbindung von Synology zum LDAP Dienst hinbekommen?
                      Woran könnte das liegen?

                      1 Reply Last reply Reply Quote 0
                      • S
                        samu95
                        last edited by

                        kleiner Erfolg: Nach mehreren Stunden ausprobieren und Dokumentationen lesen bin ich heute einen Schritt weiter gekommen. Ich habe die LDAP Verbindung erfolgreich hinbekommen, weiter unten meine Konfiguration.
                        Jetzt aber das nächste Problem:
                        Die Benutzer und Gruppen sind zwar alle vorhanden, ich kann aber keine davon bearbeiten. Wenn ich einen Benutzer bearbeiten möchte, erhalte ich die Fehlermeldung

                        Die Benutzerdaten konnten nicht geladen werden

                        Wenn ich eine Gruppe bearbeiten möchte, öffnet sich zwar kurz das Fenster zur Bearbeitung, schließt sich aber direkt wieder. Außerdem kann ich mich mit den Benutzern nicht anmelden, weder über Benutzername noch über die Mailadresse.

                        Ich bin nicht so gut mit dem System der Synology vertraut, komme hier nicht weiter. Aber vielleicht hilft der erste Schritt jemandem von euch, hier weiterzukommen. Evtl funktioniert es auch mit einer älteren Version vom DSM, bei uns ist die aktuelle version 7.0.1 installiert.

                        Hier meine Konfiguration des Profils:

                        Filter
                        passwd: (objectClass=CTPerson)
                        group: (objectClass=CTGroupDienst) // Dienst ist der Gruppentyp, kann ersetzt werden

                        Group
                        cn: cn
                        gidNumber: id
                        memberUid: uniqueMember

                        passwd
                        uidNumber: id
                        uid: uid
                        gidNumber: memberof

                        P 1 Reply Last reply Reply Quote 0
                        • P
                          patrick @samu95
                          last edited by

                          @samu95

                          Hallo samu95,

                          wir möchten das gleiche tun und sind leider ein Stückweiter auch gescheiter!
                          An bei unsere Konfiguration und Fehlermeldung:

                          Konfiguration:
                          286a914b-4f20-4b1a-b856-1a700d2ef2b1-image.png

                          Fehlermeldung:
                          e5aab201-1cec-43ec-9ce9-493bbc0419ab-image.png

                          Vielleicht hast du eine Idee oder hast eine Lösung gefunden.

                          VG Patrick

                          S 1 Reply Last reply Reply Quote 0
                          • S
                            samu95 @patrick
                            last edited by

                            Ist mittlerweile schon ein Jahr her, aber ich habe mich in den letzten Wochen wieder mit dem Thema beschäftigt. Mit Hilfe vom Log und dem Synology Support habe ich festgestellt, dass die Verknüpfungen zwischen Benutzer und Gruppe zwingend eine Zahl sein muss. Der CT LDAP Server liefert aber den "Distinguished Name" (cn=user1,ou=users,o=xxx). Damit kann Synology nicht umgehen. Auch der Umweg über die HASH Funktion hilft da nicht weiter.

                            Mit dieser Information habe ich mir jetzt eine Zwischenlösung gebaut, die fürs erste funktioniert. Aber nur, weil wir in der Synology nur eine CT Gruppe nutzen wollen.
                            Daher habe ich den Filter so gesetzt, dass nur die User einer bestimmten Gruppe geladen werden. den Gruppenfilter habe ich komplett freigelassen. Die verknüpfte Gruppen habe ich gezwungenermaßen auf "postalCode" gesetzt, weil anscheinend eine Eingabe Pflicht ist und es die einzige Nummer neben der UserID ist. Am Ende noch ein Screenshot.
                            Bei einigen Benutzern hatte ich noch ein Problem mit dem Benutzernamen, das konnte ich beheben, indem ich bei CT den Benutzernamen geändert habe. Anscheinend werden zahlen im Benutzernamen nicht akzeptiert. Jetzt läuft alles so wie es soll. Wie gesagt, die Gruppen kann man damit nicht nutzen, aber die brauchen wir aktuell auch nicht.
                            Hier nochmal der vollständige Inhalt der passwd Zeile, damit wird nur diese Gruppe gefiltert:

                            (&(objectClass=CTPerson)(memberof=cn=gruppenname,ou=groups,o=xxx))
                            

                            Vielleicht hilft das ja dem ein oder anderen weiter. Und könnte bei Gelegenheit jemand von den @ChurchToolsMitarbeiter sich das mal anschauen und entsprechend anpassen, damit die Gruppenverknüpfung funktioniert.

                            b3a19eda-18c0-4af3-9004-de93f95b26ff-image.png

                            davidschillingD P S 3 Replies Last reply Reply Quote 0
                            • davidschillingD
                              davidschilling ChurchToolsMitarbeiter @samu95
                              last edited by

                              @samu95 Die Frage ist ob das was der CT LDAP macht hier laut LDAP Spezifikation falsch ist oder Synology die Spezifikation nicht richtig implementiert hat.

                              P 1 Reply Last reply Reply Quote 0
                              • S
                                simsa
                                last edited by

                                Gibt es hier inzwischen Neuigkeiten bzw. eine Beispielkonfiguration, wie man ein Synology NAS mit Churchtools per LDAP verbinden kann?

                                1 Reply Last reply Reply Quote 0
                                • P
                                  patrick @davidschilling
                                  last edited by patrick

                                  @davidschilling

                                  Ich vermute das
                                  https://github.com/zentyal/samba/blob/master/examples/LDAP/samba.schema

                                  d505092c-2d38-42ec-bd98-dc933075ce2f-grafik.png

                                  1 Reply Last reply Reply Quote 0
                                  • P
                                    patrick @samu95
                                    last edited by

                                    @samu95
                                    Hattest du diesen Fehler auch?
                                    dcafe472-81a7-4a1f-818f-83049c3da7ff-grafik.png

                                    Wenn Ja, Wie hast du diesen Fehler behoben ?

                                    S 1 Reply Last reply Reply Quote 0
                                    • S
                                      smhr @patrick
                                      last edited by smhr

                                      UPDATE 22.04.2024: Die Benutzer/Gruppen funktionieren nun mit der unten genannten Konfiguration - ein Fehler bleibt (s.u.).


                                      Ich habe es mit der folgenden Konfiguration zum Laufen bekommen:

                                      5bf2c703-433f-4d3e-a212-7a728846836c-00_ldap_einstellungen_überblick.png

                                      1150e380-55df-48d1-9b6c-58354b287c84-01_ldap_einstellungen_allgemein.png

                                      Anstelle von leuchtturm die eigene Churchtools-Subdomain eintragen.

                                      d8ac12c5-527e-454e-8557-c22b2d891c9e-02_ldap_einstellungen_erweitert.png

                                      Unter Benutzerdefiniert die folgenden Einstellungen vornehmen:

                                      03_einstellungen_benutzerdefiniert_funktioniert.png

                                      objectClass=CTGroupDienst heißt, dass nur die Gruppen vom Typ Dienst angezeigt werden. Wenn alle angezeigt werden sollen, dann objectClass=group

                                      Damit werden Personen & Gruppen in Synology angezeigt.

                                      Es gibt leider immer noch einen Bug (Beim Suchen von Gruppen wird fälschlicherweise zwischen Groß- und Kleinschreibung unterschieden), sodass man Benutzer oder Gruppen nicht zuweisen kann. Das liegt an einer fehlerhaften Implementierung des LDAP Servers. Zumindest mit dem selbst gehosteten LDAP Service von https://github.com/milux/ctldap sollte es aber funktionieren - da ist der Bug behoben.

                                      1 Reply Last reply Reply Quote 1
                                      • S
                                        simsa @samu95
                                        last edited by

                                        @samu95 sagte in CT LDAP und Synology:

                                        Ist mittlerweile schon ein Jahr her, aber ich habe mich in den letzten Wochen wieder mit dem Thema beschäftigt. Mit Hilfe vom Log und dem Synology Support habe ich festgestellt, dass die Verknüpfungen zwischen Benutzer und Gruppe zwingend eine Zahl sein muss. Der CT LDAP Server liefert aber den "Distinguished Name" (cn=user1,ou=users,o=xxx). Damit kann Synology nicht umgehen. Auch der Umweg über die HASH Funktion hilft da nicht weiter.

                                        Gibt es hier vom Church Tools Support schon eine Information, ob man hier den CT LDAP Wrapper passend anpassen kann?

                                        Das zukünftige OpenID Connect wird Synology leider nichts bringen, sofern man den Synology Drive Clienten nutzen will. Der unterstützt nach meinem aktuellen Stand kein SSO. SSO geht nur im Browser bei Synology.

                                        Insofern wäre man hier dann doch wieder von der LDAP Integration abhängig.

                                        1 Reply Last reply Reply Quote 0
                                        • First post
                                          Last post