Ziel ist es mit einer Securepoint UTM per LDAP prüfen zu können ob eine e-Mail-Adresse existiert oder nicht. Folgendes macht das zum Problem:

• Die Securepont UTM unterstützt hier nur die Abfrage eines einzigen Attributs per LDAP.
• Kopano Verteilt die e-Mail-Adressen auf zwei Attributtypen.
• Auf dem UCS läuft OpenLdap auf nicht Standardports aber Samba als LDAP-Server auf den Standardports.

Hier die Lösung bzw. ein Workaround:

Dank an Moritz Bunkus für seinen klärenden Beitrag, dem diese Informationen entstammen.

Auf einem Univention-System mit Samba4 laufen gleich zwei LDAP-Server: OpenLDAP und das Samba4-LDAP. Zwischen beiden werden Einträge synchronisiert, sodass Benutzer in beiden existieren. Allerdings verwenden beide eine leicht unterschiedliche DNs für die Benutzer:

Beides ist derselbe User-Eintrag. Man muss daher wissen, an welchem LDAP man sich anmeldet, um den richtigen Anmeldenamen nutzen zu können.

Folgende Ports werden verwendet:

Das Samba4-LDAP akzeptiert drei Varianten für die Angabe des Loginnamens:

• Den vollständige DN des Users
• Die Variante user@domain.dld
• Die Variante NetBIOSDomain\user

OpenLDAP akzeptiert ausschließlich die DN-Syntax.

Große Unterschiede zwischen beiden LDAP-Varianten sind:

Samba4 speichert Gruppenmitgliedschaften im Userobjekt direkt mittels des Attributs memberOf. OpenLDAP speichert die Mitgliedschaft hingegen im Gruppenobjekt mittels des Attributs uniqueMember. Wenn man in seiner Anwendung nur einen LDAP-Filter angeben kann, so ist daher die Samba4-Variante einfacher. Achtung: man kann das in OpenLDAP mit Hilfe des »memberOf-Overlays« nachrüsten. Das wird ab UCS 4.3 übrigens standardmäßig aktiv sein.

Diverse für Unix/Linux relevante Attribute wie z.B. das Home-Verzeichnis oder die Login-Shell stehen ausschließlich im OpenLDAP zur Verfügung. Die von Univention bereitgestellten, beliebig zu vergebenden Free Attributes stehen ebenfalls nur im OpenLDAP zur Verfügung.