Dies ist eine alte Version des Dokuments!
UCS LDAP
Dank an Moritz Bunkus für seinen klärenden Beitrag, dem diese Informationen entstammen.
Auf einem Univention-System mit Samba4 laufen gleich zwei LDAP-Server: OpenLDAP und das Samba4-LDAP. Zwischen beiden werden Einträge synchronisiert, sodass Benutzer in beiden existieren. Allerdings verwenden beide eine leicht unterschiedliche DNs für die Benutzer:
| Server | DN |
|---|---|
| Samba | CN=[username],CN=Users,DC=[domain],DC=[tld] |
| Openldap | uid=[username],cn=users,dc=[domain],dc=[tld] |
Beides ist derselbe User-Eintrag. Man muss daher wissen, an welchem LDAP man sich anmeldet, um den richtigen Anmeldenamen nutzen zu können.
Folgende Ports werden verwendet:
| Server | Port (START-TLS | SSL) |
|---|---|---|
| Samba | 389 | 636 |
| OpenLdap | 7389 | 7636 |
Das Samba4-LDAP akzeptiert drei Varianten für die Angabe des Loginnamens:
- Den vollständige DN des Users
- Die Variante user@domain.dld
- Die Variante NetBIOSDomain\user
OpenLDAP akzeptiert ausschließlich die DN-Syntax.
uid=username,cn=users,dc=domain,dc=tld
Also nicht cn=username,…, so heißt das Objekt nur im Samba4-LDAP.
Große Unterschiede zwischen beiden LDAP-Varianten sind:
- Samba4 speichert Gruppenmitgliedschaften im Userobjekt direkt mittels des Attributs memberOf.
- OpenLDAP speichert die Mitgliedschaft hingegen im Gruppenobjekt mittels des Attributs uniqueMember.
Wenn man in seiner Anwendung nur einen LDAP-Filter angeben kann, so ist daher die Samba4-Variante einfacher. Achtung: man kann das in OpenLDAP mit Hilfe des »memberOf-Overlays« nachrüsten. Das wird ab UCS 4.3 übrigens standardmäßig aktiv sein.
Diverse für Unix/Linux relevante Attribute wie z.B. das Home-Verzeichnis oder die Login-Shell stehen ausschließlich im OpenLDAP zur Verfügung. Die von Univention bereitgestellten, beliebig zu vergebenden Free Attributes stehen ebenfalls nur im OpenLDAP zur Verfügung.