Churchtools <--> LDAP <--> Nextcloud

lebenswert

Hallo zusammen,

Churchtools LDAP
ich habe die gehostete Version von CT mit LDAP Option.
Der LDAP wurde vom Support auch schnell eingerichtet.
Die Benutzeranlage des gewünschten Benutzers für den LDAP wurde auch korrekt erledigt.

Nextcloud
In Nextcloud habe ich nun ein Plugin für "LDAP / AD Integration" installiert und auch mit den Daten des Support ausgefüllt. Die LDAP Integration ist grün.

Hierzu habe ich folgende Hilfeseite verwendet:

• https://intern.church.tools/#WikiView/filterWikicategory_id:0/doc:Einrichten von OwnCloud/follow_redirect:true/

Wenn ich mich nun mit einem Churchtools Benutzer in Nextcloud anmelde,
heißt es immer falscher Benutzer oder Passwort.

Was habe ich übersehen, oder mache ich falsch?

Andy

@lebenswert ich denke, damit bist du weiter als (fast) alle anderen hier! Ich möchte genau das auch für uns umsetzen. Im Plan habe ich das spätestens für das 2. Quartal 2020. Ich glaube kaum, dass du hier im Forum viele hilfreiche Tipps erhalten wirst. Die Hilfeseite, die du verlinkt hast, muss außerdem aus dem letzten Jahrhundert stammen (inhaltlich aber ggf. immer noch teilweise zutreffend).

Ich fände es toll, wenn wir dieses Thema Nextcloud/CT intensiver diskutieren könnten. Es gab hier seitens CT ja auch schon Beiträge, aus denen man schließen konnte, dass da eine bessere Konnektivität kommen wird. Vielleicht warten wir das einfach mal ab.

aschild

Also wir haben eine funktionierende CT -> LDAP -> Nextcloud integration.
Wir hosten zwar alles selbst, aber die SW ist die gleiche und somit sollte es eigentlich auch bei hosted funktionieren.

Hier mal ein paar Printscreens von unserem Setup:

Hier solltest du dann beim klick auf den "Benutzer zählen" Knopf alle user haben, die auch ein CT Login haben (und falls nach gruppe gefiltert in der jeweiligen Gruppe(n) sind)

Auch hier Gruppen Zählen sollte es bringen

Wenn du die Benutzer & Grupen zählen kannst, dann sollte es eigentlich funktionieren.
Sonst ev. mal die Logs von NC anschauen... und dann hier wieder posten

lebenswert

@aschild
Wir haben CT bei CT gehostet und den LDAP auch.

meine Einstellungen sehen so aus:

Fehlermeldungen von NextCloud

Error	PHP	ldap_control_paged_result_response(): No server controls in result at /var/www/vhosts/lebenswert-cg.de/cloud.lebenswert-cg.de/apps/user_ldap/lib/LDAP.php#74		2019-11-20T19:58:25+0100
Error	PHP	ldap_get_attributes() expects parameter 2 to be resource, bool given at /var/www/vhosts/lebenswert-cg.de/cloud.lebenswert-cg.de/apps/user_ldap/lib/LDAP.php#309		2019-11-20T19:57:56+0100
Error	PHP	ldap_control_paged_result_response(): No server controls in result at /var/www/vhosts/lebenswert-cg.de/cloud.lebenswert-cg.de/apps/user_ldap/lib/LDAP.php#74

Ick gloob ick mut dat debacken
Wie der Berliner wohl sagn würde

aschild

@lebenswert

Versuch mal unter Ordnereinstellungen -> "Seitenstücke" auf 0 zu setzen, das deaktiviert das Paging (Trotz der interessanten Übersetzung).
Damit sollte mindest mal der control_paged_result verschwinden.

Falls es noch immer nicht geht, müsste man das get_attributes noch anschauen.

Die Unterschiede zu unserer Konfig:

• Ich habe nur eine base-dn angegeben (wäre bei dir sonst o=lebenswert)
• Beim LDAP-Filter zu den Personen hast du die Texte gelöscht im Printscreen, oder? (Sonst müssten dort die Gruppenname angezeigt werden)

Und ev. noch das hier:

Andy

@Andy sagte in Churchtools <--> LDAP <--> Nextcloud:

Ich glaube kaum, dass du hier im Forum viele hilfreiche Tipps erhalten wirst.

Aber ein paar wenige dann doch bestimmt... und die sind sicher wertvoll.

lebenswert

| Ich glaube kaum, dass du hier im Forum viele hilfreiche Tipps erhalten wirst.
Was zu beweisen wäre!

| Aber ein paar wenige dann doch bestimmt... und die sind sicher wertvoll.
Also Jungs: Nicht streiten - schön spielen

Meine Erkentnisse:

• Paging ausschalten, wie @aschild auch gesagt hat. Findet man auch einiges bei Google.

• Ich habe den gleichen Benutzer im Churchtools und im Nextcluod angelegt, aber mit verschiedenen Passwörtern. Ich konnte mich aber mit dem Churchtoolbenutzer auf Nextcloud einloggen.

Muss ich aber gleich nochmals gegentesten, nicht dass das nur Zufall war

aschild

@lebenswert
Die User musst du in NC nicht anlegen, das sollte automatisch passieren.

Ein Adminuser in NC (der auch dann funktioniert wenn das LDAP down ist) benötigst du aber schon, und da würde ich schauen dass der nicht einem CT user entspricht.

lebenswert

Hi @aschild ,

Die User musst du in NC nicht anlegen, das sollte automatisch passieren.

Jja, das hätte mich auch gewundert - das führt den LDAP ja ad absurdum.
Habe jetzt eien Benutzer mit der NUmmer 157 aber der gleiche E-Mail Adresse.

Cool das das jetzt klappt. LDAP legt also im Nextcloud die Benutzer an, die sich über LDAP anmelden.
Coole Sache!

aschild

@lebenswert Genau.
Bei uns sind die user auch als u6 etc. in NC erschienen, ist etwas unschön beim Sync mit dem Desktopclient, aber sonst kein Problem.

Berechtigungen vergeben wir normalerweise auf Gruppen, und für die Gruppen haben wir auch Vorgabeordner erstellt die schon mit den Gruppen geteilt sind.
So hoffen wir den Wildwuchs von Ordnerstrukturen und Teilen etwas im griff zu halten, und auch das Thema das ein User gelöscht wird und dann alle von ihm erstellten Freigaben "gefährdet" sind

maglight77

Hallo zusammen

Danke für euere Beiträge. Hab es nun doch laufen gebracht, dass auch die Gruppen in der NextCloud angezeigt werden. Der Knackpunkt war dieser:

LDAP/AD-Integation, Tab Fortgeschritten unter:
Ordnereinstellungen habe ich:

Basis-Benutzerbaum: ou=users,o=meineSubDomain
Basis-Gruppenbaum: ou=groups,o=meineSubDomain
Assoziation zwischen Gruppe und Benutzer: uniqueMember

gesetzt.

Denke es war vorallem:
Assoziation zwischen Gruppe und Benutzer: uniqueMember

Gruss Lukas

johannesb

@aschild, habt ihr die unschönen Usernames mit u23 usw. sinnvoll anders belegen können? Gibt es da eine Möglichkeit?
Vielen Dank für alle Beiträge hier - haben mir sehr geholfen.

aschild

@johannesb Hallo Johannes,
nein, wir haben das nicht mehr weiterverfolgt.
Der neue Desktopclient benutzet nun ja auch den Displayname, so ist das auch nicht mehr ein grosses Problem.
Die Alternative wäre, ein anderes eindeutiges Feld zu verwenden, aber da habe ich gerade nicht eins gefunden das passen würde.

Die Email Adresse kann ja doppelt sein....

Zumal das nun bei uns so in Betrieb ist, da möchte ich das Setup&Logins nicht "brechen" indem die UserID plötzlich ändert

johannesb

@aschild tatsächlich habe ich die Lösung gefunden, bevor wir live sind. Unter Experte kann man die ursprüngliche "LDAP-Benutzernamenzuordnung löschen", was ich getan habe (und live auch nicht mehr ohne weiteres tun würde). Als "Attribut für interne Benutzernamen" habe ich "uid" gesetzt wobei ich vermute, dass das auch der Automatismus wäre.