MHC SoftWare Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
ucs_ldap_und_kopano_mail-user

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
ucs_ldap_und_kopano_mail-user [2018/02/17 16:01] matthiasucs_ldap_und_kopano_mail-user [2018/02/17 22:06] (aktuell) – gelöscht matthias
Zeile 1: Zeile 1:
-====== UCS Ldap und Kopano Mail-User ====== 
-Ziel ist es mit einer Securepoint UTM per LDAP prüfen zu können ob eine e-Mail-Adresse existiert oder nicht. Folgendes macht das zum Problem: 
- 
-  * Die Securepont UTM unterstützt hier nur die Abfrage eines einzigen Attributs per LDAP. 
-  * Kopano Verteilt die e-Mail-Adressen auf zwei Attributtypen. 
-  * Auf dem UCS läuft OpenLdap auf nicht Standardports aber Samba als LDAP-Server auf den Standardports. 
- 
-Hier die Lösung bzw. ein Workaround: 
- 
-===== Hintergrund: UCS & LDAP ===== 
-Dank an [[https://www.linet-services.de/|Moritz Bunkus]] für seinen klärenden [[https://help.univention.com/t/ldap-auth-fuer-externe-systeme/7991/2?u=mahescho|Beitrag]], dem diese Informationen entstammen. 
- 
-Auf einem Univention-System mit Samba4 laufen gleich zwei LDAP-Server: OpenLDAP und das Samba4-LDAP. Zwischen beiden werden Einträge synchronisiert, sodass Benutzer in beiden existieren. Allerdings verwenden beide eine leicht unterschiedliche DNs für die Benutzer: 
- 
-^Server^DN^ 
-|Samba|CN=[username],CN=Users,DC=[domain],DC=[tld]| 
-|Openldap|uid=[username],cn=users,dc=[domain],dc=[tld]| 
- 
-Beides ist derselbe User-Eintrag. Man muss daher wissen, an welchem LDAP man sich anmeldet, um den richtigen Anmeldenamen nutzen zu können. 
- 
-Folgende Ports werden verwendet: 
- 
-^Server^Port (START-TLS^SSL^ 
-|Samba|389|636| 
-|OpenLdap|7389|7636| 
- 
-Das Samba4-LDAP akzeptiert drei Varianten für die Angabe des Loginnamens: 
- 
-  * Den vollständige DN des Users 
-  * Die Variante user@domain.dld 
-  * Die Variante NetBIOSDomain\user 
- 
-OpenLDAP akzeptiert ausschließlich die DN-Syntax. 
- 
-Große Unterschiede zwischen beiden LDAP-Varianten sind: 
- 
-Samba4 speichert Gruppenmitgliedschaften im Userobjekt direkt mittels des Attributs memberOf. OpenLDAP speichert die Mitgliedschaft hingegen im Gruppenobjekt mittels des Attributs uniqueMember. Wenn man in seiner Anwendung nur einen LDAP-Filter angeben kann, so ist daher die Samba4-Variante einfacher. Achtung: man kann das in OpenLDAP mit Hilfe des »memberOf-Overlays« nachrüsten. Das wird ab UCS 4.3 übrigens standardmäßig aktiv sein.  
- 
-Diverse für Unix/Linux relevante Attribute wie z.B. das Home-Verzeichnis oder die Login-Shell stehen ausschließlich im OpenLDAP zur Verfügung. Die von Univention bereitgestellten, beliebig zu vergebenden Free Attributes stehen ebenfalls nur im OpenLDAP zur Verfügung. 
- 
- 
- 
  
ucs_ldap_und_kopano_mail-user.1518883293.txt.gz · Zuletzt geändert: 2018/02/17 16:01 von matthias