philipp711
Goto Top

Konfiguration Owncloud mit AD-Anbindung

Hallo Leute,

vielleicht habt ihr auch eine Owncloud-Installation mit der Active-Directory (2012R2) verknüpft und könnt mir helfen.

Es geht darum, die Anmeldung auf eine bestimmte User-Gruppe zu beschränken. Dafür habe ich eine Globale-Sicherheitsgruppe "Owncloud-User" in unserer AD angelegt und 6 User hinterlegt (mein Benutzerkonto zum test nicht).

Meine LDAP-Konfig von Owncloud sieht so aus:

LDAP Basic
Host = DC.dom.local
Base DN = DC=dom,DC=local
 
User DN = cn=administrator,ou=Administration,dc=dom,dc=local
Password = PW von administrator
Anmeldefilter = (&(memberOf=CN=Owncloud-User,OU=Grp_Sicherheit-ACLs,OU=Unternehmen,DC=dom,DC=local)(sAMAccountName=%uid))
Nutzer-Filter = memberof=CN=Owncloud-User,OU=Grp_Sicherheit-ACLs,OU=Unternehmen,DC=dom,DC=local
Gruppen Filter = *LEER*

 Advanced/Ordnereinstellungen

 Basis-Benutzerbaum = DC=dom,DC=local
 Basis-Gruppenbaum = DC=dom,DC=local
 Assoziation zwischen Gruppen und Benutzer = member (AD)
 Feld für Anzeigenamen des Benutzers = displayname
 Feld für den Anzeigename der Gruppe = cn

Leider ist es so, dass ich mich und insbesondere ganz neu angelegte User an Owncloud anmelden können. Gibts irgendwas zu beachten was ich übersehen habe? Kann ich die Benutzerabfrage irgendwie testen? Komme nicht weiter!

Danke!

Gruß

Content-Key: 253808

Url: https://administrator.de/contentid/253808

Ausgedruckt am: 28.03.2024 um 22:03 Uhr

Mitglied: Dani
Dani 04.11.2014 aktualisiert um 22:57:02 Uhr
Goto Top
Moin,
hast du die Konfigration über einen Editor gebastelt oder bist du nach der Doku vorgegangen?
Wenn du "nur" die AD-Abindung ohne Einschränkungen (Gruppe, Filter, etc...) konfiguriest, geht es auch nicht?
Der Benutzer "Administrator" ist zufällig nicht gesperrt oder deaktiviert?


Gruß,
Dani
Mitglied: Philipp711
Philipp711 04.11.2014 aktualisiert um 21:07:14 Uhr
Goto Top
Zitat von @Dani:

hast du die Konfigration über einen Editor gebastelt oder bist du nach der
[http://doc.owncloud.org/server/6.0/admin_manual/configuration/auth_ldap.html Doku vorgegangen?

Primär bin ich nach dieser Anleitung gegangen -> https://vorkbaard.nl/add-owncloud-6-0-to-active-directory-2012-r2/ . Mir ist die Owncloud-Doku aber bei der Fehlersuche ebenfalls unter die Finger geraten - allerdings kann ich persönlich nicht feststellen was ich falsch mache. Vielleicht übersehen ich ja was....

Wenn du "nur" die AD-Abindung ohne Einschränkungen (Gruppe, Filter, etc...) konfiguriest, geht es auch nicht?
Der Benutzer "Administrator" ist zufällig nicht gesperrt oder deaktiviert?

Ganz ohne Filter geht nicht - dann wird "Konfigration unvollständig" angezeigt - (sAMAccountName=%uid) muss stehen bleiben. Wenn ich den "(Memberof=XXX)"-Kram wegglassen klappt es auch. Wie gesagt: Es klappt momentan mit allen Benutzern, auch wenn diese nicht in der Gruppe "Owncloud-User" sind. Es sollte aber anders herum sein -> nur die "Owncloud-User"-Mitglieder sollen sich anmelden können.

Der Domänen-Benutzer "Administrator" ist in der Active-Directory nicht gesperrt oder deaktiviert....
Mitglied: Dani
Lösung Dani 04.11.2014, aktualisiert am 24.12.2014 um 13:41:41 Uhr
Goto Top
Wie gesagt: Es klappt momentan mit allen Benutzern, auch wenn diese nicht in der Gruppe "Owncloud-User" sind.
War mir so nicht ganz klar.

Hinterlege bei User Login Filter folgendes:
(&(&(sAMAccountName=%uid)(objectClass=user))(memberOf=CN=Owncloud-User,OU=Grp_Sicherheit-ACLs,OU=Unternehmen,DC=dom,DC=local))

Gruß,
Dani
Mitglied: Philipp711
Philipp711 05.11.2014 aktualisiert um 07:56:20 Uhr
Goto Top
Ich glaube ich komme dem Fehler näher. Ich glaube es liegt nicht wirklich an Owncloud und dem Login-Filter.

Viel mehr haben meine Benutzer in dem Attribut-Explorer des AD-Benutzerobjekts kein Attribut mit dem Namen "MemberOf". ADSedit über den DC als Domänen-Admin zeigt auch keine Attribut "Memberof" an.

Bin jetzt ein wenig verwirrt - die Active Directory läuft so eigentlich ohne Probleme.
Unsere komplette Rechteverwaltung von Fileserver über den Proxy mit SSO, CRM-Software etc basiert auf Active-Directory-Gruppen mit den entsprechenden Usern - alles läuft einwandfrei. Wo kriegt die AD denn jetzt die Infos über die Gruppenzugehörigkeit aus den Benutzerobjekten raus?! face-sad
Mitglied: Philipp711
Philipp711 24.12.2014 um 13:41:16 Uhr
Goto Top
Hallo,

der Beitrag ist zwar schon etwas älter aber ich habe das Problem jetzt gelöst.

Die Login-Filter sind so gesetzt wie ich in meinem Anfangspost beschrieben habe. Ich habe kurzerhand das komplette AD-Modul deaktiviert danach aktiviert und noch einmal konfiguriert.

Jetzt klappt es!! Danke!