Churchtools <--> LDAP <--> Nextcloud

lebenswert

@aschild
Wir haben CT bei CT gehostet und den LDAP auch.

meine Einstellungen sehen so aus:

Fehlermeldungen von NextCloud

Error	PHP	ldap_control_paged_result_response(): No server controls in result at /var/www/vhosts/lebenswert-cg.de/cloud.lebenswert-cg.de/apps/user_ldap/lib/LDAP.php#74		2019-11-20T19:58:25+0100
Error	PHP	ldap_get_attributes() expects parameter 2 to be resource, bool given at /var/www/vhosts/lebenswert-cg.de/cloud.lebenswert-cg.de/apps/user_ldap/lib/LDAP.php#309		2019-11-20T19:57:56+0100
Error	PHP	ldap_control_paged_result_response(): No server controls in result at /var/www/vhosts/lebenswert-cg.de/cloud.lebenswert-cg.de/apps/user_ldap/lib/LDAP.php#74

Ick gloob ick mut dat debacken
Wie der Berliner wohl sagn würde

aschild

@lebenswert

Versuch mal unter Ordnereinstellungen -> "Seitenstücke" auf 0 zu setzen, das deaktiviert das Paging (Trotz der interessanten Übersetzung).
Damit sollte mindest mal der control_paged_result verschwinden.

Falls es noch immer nicht geht, müsste man das get_attributes noch anschauen.

Die Unterschiede zu unserer Konfig:

• Ich habe nur eine base-dn angegeben (wäre bei dir sonst o=lebenswert)
• Beim LDAP-Filter zu den Personen hast du die Texte gelöscht im Printscreen, oder? (Sonst müssten dort die Gruppenname angezeigt werden)

Und ev. noch das hier:

Andy

@Andy sagte in Churchtools <--> LDAP <--> Nextcloud:

Ich glaube kaum, dass du hier im Forum viele hilfreiche Tipps erhalten wirst.

Aber ein paar wenige dann doch bestimmt... und die sind sicher wertvoll.

lebenswert

| Ich glaube kaum, dass du hier im Forum viele hilfreiche Tipps erhalten wirst.
Was zu beweisen wäre!

| Aber ein paar wenige dann doch bestimmt... und die sind sicher wertvoll.
Also Jungs: Nicht streiten - schön spielen

Meine Erkentnisse:

• Paging ausschalten, wie @aschild auch gesagt hat. Findet man auch einiges bei Google.

• Ich habe den gleichen Benutzer im Churchtools und im Nextcluod angelegt, aber mit verschiedenen Passwörtern. Ich konnte mich aber mit dem Churchtoolbenutzer auf Nextcloud einloggen.

Muss ich aber gleich nochmals gegentesten, nicht dass das nur Zufall war

aschild

@lebenswert
Die User musst du in NC nicht anlegen, das sollte automatisch passieren.

Ein Adminuser in NC (der auch dann funktioniert wenn das LDAP down ist) benötigst du aber schon, und da würde ich schauen dass der nicht einem CT user entspricht.

lebenswert

Hi @aschild ,

Die User musst du in NC nicht anlegen, das sollte automatisch passieren.

Jja, das hätte mich auch gewundert - das führt den LDAP ja ad absurdum.
Habe jetzt eien Benutzer mit der NUmmer 157 aber der gleiche E-Mail Adresse.

Cool das das jetzt klappt. LDAP legt also im Nextcloud die Benutzer an, die sich über LDAP anmelden.
Coole Sache!

aschild

@lebenswert Genau.
Bei uns sind die user auch als u6 etc. in NC erschienen, ist etwas unschön beim Sync mit dem Desktopclient, aber sonst kein Problem.

Berechtigungen vergeben wir normalerweise auf Gruppen, und für die Gruppen haben wir auch Vorgabeordner erstellt die schon mit den Gruppen geteilt sind.
So hoffen wir den Wildwuchs von Ordnerstrukturen und Teilen etwas im griff zu halten, und auch das Thema das ein User gelöscht wird und dann alle von ihm erstellten Freigaben "gefährdet" sind

maglight77

Hallo zusammen

Danke für euere Beiträge. Hab es nun doch laufen gebracht, dass auch die Gruppen in der NextCloud angezeigt werden. Der Knackpunkt war dieser:

LDAP/AD-Integation, Tab Fortgeschritten unter:
Ordnereinstellungen habe ich:

Basis-Benutzerbaum: ou=users,o=meineSubDomain
Basis-Gruppenbaum: ou=groups,o=meineSubDomain
Assoziation zwischen Gruppe und Benutzer: uniqueMember

gesetzt.

Denke es war vorallem:
Assoziation zwischen Gruppe und Benutzer: uniqueMember

Gruss Lukas

johannesb

@aschild, habt ihr die unschönen Usernames mit u23 usw. sinnvoll anders belegen können? Gibt es da eine Möglichkeit?
Vielen Dank für alle Beiträge hier - haben mir sehr geholfen.

aschild

@johannesb Hallo Johannes,
nein, wir haben das nicht mehr weiterverfolgt.
Der neue Desktopclient benutzet nun ja auch den Displayname, so ist das auch nicht mehr ein grosses Problem.
Die Alternative wäre, ein anderes eindeutiges Feld zu verwenden, aber da habe ich gerade nicht eins gefunden das passen würde.

Die Email Adresse kann ja doppelt sein....

Zumal das nun bei uns so in Betrieb ist, da möchte ich das Setup&Logins nicht "brechen" indem die UserID plötzlich ändert

johannesb

@aschild tatsächlich habe ich die Lösung gefunden, bevor wir live sind. Unter Experte kann man die ursprüngliche "LDAP-Benutzernamenzuordnung löschen", was ich getan habe (und live auch nicht mehr ohne weiteres tun würde). Als "Attribut für interne Benutzernamen" habe ich "uid" gesetzt wobei ich vermute, dass das auch der Automatismus wäre.

Detmold-Nord

Hallo zusammen,

ich bekomme beim Einrichten von Nextcloud mit Ldap folgende Fehlermeldung:

Ich habe die Einstellungen unter Server mehrfach kontrolliert, aber es funktioniert irgendwie nicht. Wo kann mein Fehler liegen?

aschild

@detmold-nord Die DN ist komplett falsch, das ist so etwas wie o=churchtools notwendig.
Deine ou=users und ou=groups gehören nicht hier hin

Detmold-Nord

@aschild Danke für deine Antwort.
Ich habe mich an dem orientiert, was @lebenswert hier im Thread gepostet hat.

Ich habe die Base-DN nochmal übern den entsprechenden Button ermitteln lassen. Es kommt Folgendes:

Das sieht zuerst einmal gut aus, weil die Konfiguration OK zeigt. Klicke ich auf Fortsetzen, wird die Seite mit dem Reiter Benutzer angezeigt. Diese sieht dann so aus:

Die Objektklassen sind ausgegraut. Ich kann nichts auswählen.

Wenn ich o=churchtools eingebe, kommt folgende Meldung:

Ein Fortsetzen der Konfiguration ist nicht möglich.

Der Support von Churchtools hatte mir geschrieben, dass in der Base-DN für die Abfrage von Personen genau das eingetragen werden sollte, was ich eingetragen habe. Ich sollte hier vielleicht noch erwähnen, dass wir den LDAp-Service von ChurchTools nutzen.

Ich habe Nextcloud in einem Webhosting-Paket auf Hosteurope laufen. Muss, um LDAP nutzen zu können, die entsprechende PHP-LDAP-Erweiterung installiert sein?

Detmold-Nord

@detmold-nord

Ich habe gerade nochmal einen neuen Zugang angelegt:

Diesmal erscheint: Konfiguration OK.
Ich klicke auf Fortsetzen. Es erscheint Folgendes:

Unter Objektklassen werden mit nur zwei seltsame Auswahlen angezeigt.

Hat jemand eine Idee, wo der Fehler liegt?

aschild

@detmold-nord Verwendest du eine eigene Instanz des LDAP Servers, oder den Chutchtools gehosteten?

Wenn gehostet, dann schau mal hier rein:
https://intern.church.tools/?q=churchwiki#WikiView/filterWikicategory_id:0/doc:Anbindung von Nextcloud an den ChurchTools-Login/follow_redirect:true/

Wenn selbst gehostet, kann ich dir Printscreens von unsrer Konfig zukommen kassen

Detmold-Nord

@aschild Ich habe das auch schon ausprobiert. Das hat auch nichts genutzt.
Da ich aber nicht der Admin unseres ChurchTools bin, frage ich mich, ob es evtl. an einem falschen Passwort liegt?

Der Support von CT will auch nur weiterhelfen, wenn ich vorher einen Test mit ldapsearch durchgeführt habe. Da ich leider kein Linux habe, kann ich es darüber nicht testen.

aschild

@detmold-nord Linux kannst du auch mal schnell in einer VM testen... Oder wenn du willst kann ich das für dich machen.
PM an mich mit den Angaben

Detmold-Nord

@aschild Vielen Dank für die Idee mit der VM. Da hätte ich auch selbst draufkommen können.
Ich habe das wie von dir vorgeschlagen mit einer Linux VM durchgeführt. Das Ergebnis sieht so aus - siehe Bild. Wie muss ich das interpretieren?

aschild

@detmold-nord Das sagt dir schon mal dass dein Login funktioniert.
Aber so wie es aussieht, hat das root login zu wenig Berechtigungen im Churchtools, denn du müsstest jetzt da eine Liste der CT user (nur die mit aktiviertem Login) und Gruppen erhalten.

Mein eigener Eintrag sieht so aus:

# aschild, users, churchtools
dn: cn=aschild, ou=users, o=churchtools
cn: aschild
displayname:: QW5kcsOpIFNjaGlsZA==
id: 6
uid: aschild
nsuniqueid: u6
givenname:: QW5kcsOp
street: xxxxxxx
telephoneMobile: xxxxxxxx
telephoneHome: xxxxx
postalCode: xxxxxx
l: xxxxx
sn: Schild
email: xxxxxxxxxxx
mail: xxxxxxxxxxxx
objectclass: CTPerson
memberof: cn=kirchgemeinderat,ou=groups,o=churchtools
memberof: cn=familiengottesdienste,ou=groups,o=churchtools
memberof: cn=gemeindewochenende,ou=groups,o=churchtools
memberof: cn=theateranlass i-pkk,ou=groups,o=churchtools
memberof: cn=pkks,ou=groups,o=churchtools
memberof: cn=pkk ipsach,ou=groups,o=churchtools
memberof: cn=i-pkk,ou=groups,o=churchtools
memberof: cn=it kommission,ou=groups,o=churchtools
memberof: cn=lesezirkel nidau,ou=groups,o=churchtools
memberof: cn=invenio,ou=groups,o=churchtools
memberof: cn=adventswerkstatt ipsach,ou=groups,o=churchtools
memberof: cn=neugestaltung gd raum ipsach,ou=groups,o=churchtools
memberof:: Y249w7ZmZmVudGxpY2hlIGdydXBwZW4sb3U9Z3JvdXBzLG89Y2h1cmNodG9vbHM=
memberof: cn=freiwilligenanlass ipsach 2020,ou=groups,o=churchtools
memberof: cn=werbung klassische gd's,ou=groups,o=churchtools
memberof: cn=gemeindewoche montmirail 2021,ou=groups,o=churchtools

Und Gruppen sehen so aus, wenn due den -b Parameter auf uo=groups,o=detmold-nord änderst

# kuw 2. klasse kuw-unterricht, groups, churchtools
dn: cn=kuw 2. klasse kuw-unterricht, ou=groups, o=churchtools
cn: KUW 2. Klasse KUW-Unterricht
displayname: KUW 2. Klasse KUW-Unterricht
id: 319
nsuniqueid: g319
objectclass: group
objectclass: CTGroupKUW
uniquemember:: Y249bmTDvHJzdCxvdT11c2VycyxvPWNodXJjaHRvb2xz
uniquemember:: Y249c3fDpGZsZXIsb3U9dXNlcnMsbz1jaHVyY2h0b29scw==