Churchtools <--> LDAP <--> Nextcloud
-
| Ich glaube kaum, dass du hier im Forum viele hilfreiche Tipps erhalten wirst.
Was zu beweisen wäre!| Aber ein paar wenige dann doch bestimmt... und die sind sicher wertvoll.
Also Jungs: Nicht streiten - schön spielen
Meine Erkentnisse:
-
Paging ausschalten, wie @aschild auch gesagt hat. Findet man auch einiges bei Google.
-
Ich habe den gleichen Benutzer im Churchtools und im Nextcluod angelegt, aber mit verschiedenen Passwörtern. Ich konnte mich aber mit dem Churchtoolbenutzer auf Nextcloud einloggen.
Muss ich aber gleich nochmals gegentesten, nicht dass das nur Zufall war
Menschen in Not helfen & das aktuelle Projekt unterstützen:
-
-
@lebenswert
Die User musst du in NC nicht anlegen, das sollte automatisch passieren.Ein Adminuser in NC (der auch dann funktioniert wenn das LDAP down ist) benötigst du aber schon, und da würde ich schauen dass der nicht einem CT user entspricht.
-
Hi @aschild ,
Die User musst du in NC nicht anlegen, das sollte automatisch passieren.
Jja, das hätte mich auch gewundert - das führt den LDAP ja ad absurdum.
Habe jetzt eien Benutzer mit der NUmmer 157 aber der gleiche E-Mail Adresse.Cool das das jetzt klappt. LDAP legt also im Nextcloud die Benutzer an, die sich über LDAP anmelden.
Coole Sache!Menschen in Not helfen & das aktuelle Projekt unterstützen:
-
@lebenswert Genau.
Bei uns sind die user auch als u6 etc. in NC erschienen, ist etwas unschön beim Sync mit dem Desktopclient, aber sonst kein Problem.Berechtigungen vergeben wir normalerweise auf Gruppen, und für die Gruppen haben wir auch Vorgabeordner erstellt die schon mit den Gruppen geteilt sind.
So hoffen wir den Wildwuchs von Ordnerstrukturen und Teilen etwas im griff zu halten, und auch das Thema das ein User gelöscht wird und dann alle von ihm erstellten Freigaben "gefährdet" sind3.x kein Selfhosting mehr
-
Hallo zusammen
Danke für euere Beiträge. Hab es nun doch laufen gebracht, dass auch die Gruppen in der NextCloud angezeigt werden. Der Knackpunkt war dieser:
LDAP/AD-Integation, Tab Fortgeschritten unter:
Ordnereinstellungen habe ich:Basis-Benutzerbaum: ou=users,o=meineSubDomain
Basis-Gruppenbaum: ou=groups,o=meineSubDomain
Assoziation zwischen Gruppe und Benutzer: uniqueMembergesetzt.
Denke es war vorallem:
Assoziation zwischen Gruppe und Benutzer: uniqueMemberGruss Lukas
-
@aschild, habt ihr die unschönen Usernames mit u23 usw. sinnvoll anders belegen können? Gibt es da eine Möglichkeit?
Vielen Dank für alle Beiträge hier - haben mir sehr geholfen. -
@johannesb Hallo Johannes,
nein, wir haben das nicht mehr weiterverfolgt.
Der neue Desktopclient benutzet nun ja auch den Displayname, so ist das auch nicht mehr ein grosses Problem.
Die Alternative wäre, ein anderes eindeutiges Feld zu verwenden, aber da habe ich gerade nicht eins gefunden das passen würde.Die Email Adresse kann ja doppelt sein....
Zumal das nun bei uns so in Betrieb ist, da möchte ich das Setup&Logins nicht "brechen" indem die UserID plötzlich ändert
-
@aschild tatsächlich habe ich die Lösung gefunden, bevor wir live sind. Unter Experte kann man die ursprüngliche "LDAP-Benutzernamenzuordnung löschen", was ich getan habe (und live auch nicht mehr ohne weiteres tun würde). Als "Attribut für interne Benutzernamen" habe ich "uid" gesetzt wobei ich vermute, dass das auch der Automatismus wäre.
-
Hallo zusammen,
ich bekomme beim Einrichten von Nextcloud mit Ldap folgende Fehlermeldung:
Ich habe die Einstellungen unter Server mehrfach kontrolliert, aber es funktioniert irgendwie nicht. Wo kann mein Fehler liegen?
-
@detmold-nord Die DN ist komplett falsch, das ist so etwas wie o=churchtools notwendig.
Deine ou=users und ou=groups gehören nicht hier hin -
@aschild Danke für deine Antwort.
Ich habe mich an dem orientiert, was @lebenswert hier im Thread gepostet hat.Ich habe die Base-DN nochmal übern den entsprechenden Button ermitteln lassen. Es kommt Folgendes:
Das sieht zuerst einmal gut aus, weil die Konfiguration OK zeigt. Klicke ich auf Fortsetzen, wird die Seite mit dem Reiter Benutzer angezeigt. Diese sieht dann so aus:
Die Objektklassen sind ausgegraut. Ich kann nichts auswählen.
Wenn ich o=churchtools eingebe, kommt folgende Meldung:
Ein Fortsetzen der Konfiguration ist nicht möglich.
Der Support von Churchtools hatte mir geschrieben, dass in der Base-DN für die Abfrage von Personen genau das eingetragen werden sollte, was ich eingetragen habe. Ich sollte hier vielleicht noch erwähnen, dass wir den LDAp-Service von ChurchTools nutzen.
Ich habe Nextcloud in einem Webhosting-Paket auf Hosteurope laufen. Muss, um LDAP nutzen zu können, die entsprechende PHP-LDAP-Erweiterung installiert sein?
-
Ich habe gerade nochmal einen neuen Zugang angelegt:
Diesmal erscheint: Konfiguration OK.
Ich klicke auf Fortsetzen. Es erscheint Folgendes:
Unter Objektklassen werden mit nur zwei seltsame Auswahlen angezeigt.
Hat jemand eine Idee, wo der Fehler liegt?
-
@detmold-nord Verwendest du eine eigene Instanz des LDAP Servers, oder den Chutchtools gehosteten?
Wenn gehostet, dann schau mal hier rein:
https://intern.church.tools/?q=churchwiki#WikiView/filterWikicategory_id:0/doc:Anbindung von Nextcloud an den ChurchTools-Login/follow_redirect:true/Wenn selbst gehostet, kann ich dir Printscreens von unsrer Konfig zukommen kassen
-
@aschild Ich habe das auch schon ausprobiert. Das hat auch nichts genutzt.
Da ich aber nicht der Admin unseres ChurchTools bin, frage ich mich, ob es evtl. an einem falschen Passwort liegt?Der Support von CT will auch nur weiterhelfen, wenn ich vorher einen Test mit ldapsearch durchgeführt habe. Da ich leider kein Linux habe, kann ich es darüber nicht testen.
-
@detmold-nord Linux kannst du auch mal schnell in einer VM testen... Oder wenn du willst kann ich das für dich machen.
PM an mich mit den Angaben -
@aschild Vielen Dank für die Idee mit der VM. Da hätte ich auch selbst draufkommen können.
Ich habe das wie von dir vorgeschlagen mit einer Linux VM durchgeführt. Das Ergebnis sieht so aus - siehe Bild. Wie muss ich das interpretieren?
-
@detmold-nord Das sagt dir schon mal dass dein Login funktioniert.
Aber so wie es aussieht, hat das root login zu wenig Berechtigungen im Churchtools, denn du müsstest jetzt da eine Liste der CT user (nur die mit aktiviertem Login) und Gruppen erhalten.Mein eigener Eintrag sieht so aus:
# aschild, users, churchtools dn: cn=aschild, ou=users, o=churchtools cn: aschild displayname:: QW5kcsOpIFNjaGlsZA== id: 6 uid: aschild nsuniqueid: u6 givenname:: QW5kcsOp street: xxxxxxx telephoneMobile: xxxxxxxx telephoneHome: xxxxx postalCode: xxxxxx l: xxxxx sn: Schild email: xxxxxxxxxxx mail: xxxxxxxxxxxx objectclass: CTPerson memberof: cn=kirchgemeinderat,ou=groups,o=churchtools memberof: cn=familiengottesdienste,ou=groups,o=churchtools memberof: cn=gemeindewochenende,ou=groups,o=churchtools memberof: cn=theateranlass i-pkk,ou=groups,o=churchtools memberof: cn=pkks,ou=groups,o=churchtools memberof: cn=pkk ipsach,ou=groups,o=churchtools memberof: cn=i-pkk,ou=groups,o=churchtools memberof: cn=it kommission,ou=groups,o=churchtools memberof: cn=lesezirkel nidau,ou=groups,o=churchtools memberof: cn=invenio,ou=groups,o=churchtools memberof: cn=adventswerkstatt ipsach,ou=groups,o=churchtools memberof: cn=neugestaltung gd raum ipsach,ou=groups,o=churchtools memberof:: Y249w7ZmZmVudGxpY2hlIGdydXBwZW4sb3U9Z3JvdXBzLG89Y2h1cmNodG9vbHM= memberof: cn=freiwilligenanlass ipsach 2020,ou=groups,o=churchtools memberof: cn=werbung klassische gd's,ou=groups,o=churchtools memberof: cn=gemeindewoche montmirail 2021,ou=groups,o=churchtoolsUnd Gruppen sehen so aus, wenn due den -b Parameter auf uo=groups,o=detmold-nord änderst
# kuw 2. klasse kuw-unterricht, groups, churchtools dn: cn=kuw 2. klasse kuw-unterricht, ou=groups, o=churchtools cn: KUW 2. Klasse KUW-Unterricht displayname: KUW 2. Klasse KUW-Unterricht id: 319 nsuniqueid: g319 objectclass: group objectclass: CTGroupKUW uniquemember:: Y249bmTDvHJzdCxvdT11c2VycyxvPWNodXJjaHRvb2xz uniquemember:: Y249c3fDpGZsZXIsb3U9dXNlcnMsbz1jaHVyY2h0b29scw== -
@aschild Der ChurchTools Support hat nochmal an der ganzen Sache herumgepuhlt. Jetzt bekomme ich bei der ldapsearch Abfrage folgendes:
Wenn ich diese Meldung richtig verstehe, dann kommt jetzt keine Verbindung zu standen, bzw. das Passwort ist evtl. falsch.
-
@detmold-nord sagte in Churchtools <--> LDAP <--> Nextcloud:
@aschild Der ChurchTools Support hat nochmal an der ganzen Sache herumgepuhlt. Jetzt bekomme ich bei der ldapsearch Abfrage folgendes:
Wenn ich diese Meldung richtig verstehe, dann kommt jetzt keine Verbindung zu standen, bzw. das Passwort ist evtl. falsch.
Ja, Logindaten stimmen nicht
-
@aschild ich mach einfach hier mal weiter ...
Ich hänge da ein bisschen in den Seilen, manchmal tut es, und dann wieder nicht ...
Hier sieht man, dass ich zwar gruppen auswählen kann, aber m.E. baut er das LDAP-Filter nicht richtig zusammen.
Heute hat es auch schon funktioniert, da sah das dann so aus (bin ich froh, dass ich da screenshots gezogen habe)
Irgendeine Einstellung muss ihn wohl dazu bringen, dass er aus der Gruppe nicht die korrekte Abfrage errechnen kann.
Wenn ich das LDAP filter manuell einstelle, dann funktioniert es.
