Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

LDAP Integration für Rocket.Chat, Problem mit User Search

Mitglied: Bem0815

Bem0815 (Level 2) - Jetzt verbinden

24.07.2019, aktualisiert 25.07.2019, 277 Aufrufe, 4 Kommentare

Moin zusammen,

ich bin gerade dabei Rocket.Chat mit einem OpenLDAP Server zu verbinden.
Grundsätzlich klappt das auch, nur bekomme ich es nicht hin das ganze zu Filtern, so dass sich nur Mitglieder einer bestimmten Gruppe anmelden dürfen.

Sobald ich den Filter aktiviere kann sich gar kein User anmelden.
Egal ob er in der Gruppe ist oder nicht.

Synchronisiert werden die LDAP User aber problemlos mit Rocket.Chat
Leider ist die Doku von Rocket.Chat zu dem Punkt User Search (Group Validation) so gut wie nicht vorhanden und über Google auch nicht wirklich was zu finden.

Der Vollständigkeit halber hier meine vollständigen LDAP Einstellungen in Rocket.Chat:

01.
**LDAP**
02.
Enable: True
03.
Login Fallback: True
04.
Find user after login: True
05.
Host: ldap.firma.de
06.
Port: 636
07.
Encryption: SSL/LDAPS
08.
CA Cert:
09.
Reject Unauthorized: True
10.
Base DN: DC="ldap",DC="firma",DC="de"
11.

12.
**Authentication**
13.
Enable: True
14.
User DN: cn=admin,dc=ldap,dc=firma,dc=de (wird später noch auf einen anderen User geändert)
15.
Passwort: ***************
16.

17.
**Sync/Import**
18.
Username Field: uid
19.
Unique Identifier Field: uidNumber
20.
Default Domain: firma.de
21.
Merge Existing Users: true
22.
Sync User Data: true
23.
User Data Field Map: {"cn":"name", "mail":"email"}
24.
Sync User Avatar: true
25.
Background Sync: true
26.
Background Sync Interval: Every 24 hours
27.
Background Sync Import New Users: true
28.
Background Sync Update Existing Users: true

Zum Filtern wer sich einloggen darf gibt es dann noch "User Search" und "User Search (Group Validation)".
Da OpenLDAP kein "memberOf" versteht heißt es hier für OpenLDAP soll man statt der "User Search" die "User Search (Group Validation)" nutzen.

Hier die Einstellungen zu UserSearch in denen ich wohl einen Fehler habe:
In Klammern stehen zum Teil die Vorschläge von Rocket.Chat

01.
Enable LDAP User Group Filter: true
02.

03.
Group ObjectClass: posixGroup
04.
(Rocketchat schreibt hier: als Beispielwert: "E.g. OpenLDAP:groupOfUniqueNames", jedoch sagt mir hier mein LDAP Browser, dass die Objectclass "posixGroup" lautet.
05.

06.
Group ID Attribute: cn
07.
(E.g. *OpenLDAP:*cn)
08.

09.
Group Member Attribute: memberUid
10.
(Auch hier eine Abweichung vom Rocket.Chat vorschlag für OpenLDAP: "E.g. *OpenLDAP:*uniqueMember", LDAP Browser sagt mir aber die Attribute heißen memberUid)
11.

12.
Group Member Format: uid=#{username},ou=users,dc=ldap,dc=firma,dc=de
13.
(E.g. *OpenLDAP:*uid=#{username},ou=users,o=Company,c=com)
14.

15.
Group name: rocketchat

Der Rocketchat Log gibt bei einem Anmeldeversuch folgenden Fehler aus:
01.
I20190724-08:12:20.398(0) server.js:207 LDAPHandler ➔ error { NoSuchObjectError: No Such Object     at messageCallback (/app/bundle/programs/server/npm/node_modules/ldapjs/lib/client/client.js:1419:45)     at Parser.onMessage (/app/bundle/programs/server/npm/node_modules/ldapjs/lib/client/client.js:1089:14)     at emitOne (events.js:116:13)     at Parser.emit (events.js:211:7)     at Parser.write (/app/bundle/programs/server/npm/node_modules/ldapjs/lib/messages/parser.js:111:8)     at TLSSocket.onData (/app/bundle/programs/server/npm/node_modules/ldapjs/lib/client/client.js:1076:22)     at emitOne (events.js:116:13)     at TLSSocket.emit (events.js:211:7)     at addChunk (_stream_readable.js:263:12)     at readableAddChunk (_stream_readable.js:250:11)     at TLSSocket.Readable.push (_stream_readable.js:208:10)     at TLSWrap.onread (net.js:597:20) lde_message: 'No Such Object', lde_dn: null } 
Ich weiß nur leider nicht an welcher Stelle er hier ein Objekt nicht finden kann. Ob es die Gruppe ist oder der User.
Bzw. wo er Probleme mit dem Distinguished Name hat.
Mitglied: Dani
24.07.2019 um 10:50 Uhr
Moin,
folgenden Beitrag LDAP Group Member Format habe ich im Community Forum von Rocket gefunden. Ist meiner Meinung nach, das selbe Problem wie bei dir.


Gruß,
Dani
Bitte warten ..
Mitglied: Bem0815
24.07.2019, aktualisiert 25.07.2019
Zitat von Dani:

Moin,
folgenden Beitrag LDAP Group Member Format habe ich im Community Forum von Rocket gefunden. Ist meiner Meinung nach, das selbe Problem wie bei dir.


Gruß,
Dani

Hi, danke für den Beitrag.

Ich denke da geht es aber um was anderes.
In dem Forenbeitrag geht es darum, dass der User mit cn={givenName} nach einer ungültigen Syntax gesucht hat, denn nachdem er den Sourcecode durchsucht hat ist er zu dem Schluss gekommen, dass nur eine Suche nach #{username} oder #{userdn} legitim ist und nicht nach {givenname}.

Das macht für mich soweit auch Sinn, da das nicht die LDAP Variablen sondern die Rocketchat Variablen sind.
In Rocketchat gibt es Name, Username und E-Mail.
Bei mir wird das aus dem LDAP wie folgt übernommen:

Name: Max Mustermann
Username: m.mustermann
E-Mail: m.mustermann@firma.de

Ich verwende bei mir in der Syntax aber bereits #{username}.

uid=#{username},ou=users,dc=ldap,dc=firma,dc=de

Sollte bedeuten er soll die uid m.mustermann in den LDAP finden und mit dem rocket.chat username m.mustermann abgleichen und nach dem LDAP User soll er hierbei in der OU Users suchen.
Bitte warten ..
Mitglied: Dani
24.07.2019 um 21:37 Uhr
Moin,
Ich denke da geht es aber um was anderes.
Hmm, folgender Satz " Currently I’m stuck at the LDAP Group Member Format setting as it should look like the following:" klingt doch nach der Übersetzung nach deinem Problem. Es geht meiner Meinung nach darum, wie die zu prüfende Gruppe "formatiert" werden muss.


Gruß,
Dani
Bitte warten ..
Mitglied: Bem0815
25.07.2019 um 08:28 Uhr
Zitat von Dani:

Moin,
Ich denke da geht es aber um was anderes.
Hmm, folgender Satz " Currently I’m stuck at the LDAP Group Member Format setting as it should look like the following:" klingt doch nach der Übersetzung nach deinem Problem. Es geht meiner Meinung nach darum, wie die zu prüfende Gruppe "formatiert" werden muss.


Gruß,
Dani

Das ist mir schon von Anfang an klar, dass es was am Format vom "LDAP Group Member Format" sein muss, sonst würde LDAP ja gar nicht funktionieren. Ich hab aber auch extra deshalb geschrieben eine Anmeldung funktioniert, nur nicht wenn ich den zusätzlichen "Group Member Format" Filter überhaupt einschalte.

Ohne diesen ist ein Anmelden möglich. Daher ist das auch vollkommen klar, dass ich den Fehler nicht woanders suchen muss.
Nur konkret die Einstellung die in deinem verlinkten Beitrag vorgeschlagen wird hatte ich schon von Anfang an so umgesetzt.

Das ist ungefähr so also würde ich schreiben ich hab an meinem Auto (LDAP) ein Problem mit dem Motor (Group Member Format) und du postest mir irgendeinen Beitrag wie jemand ein Motorproblem gelöst hat und sagt das dürfte die Lösung für dein Problem sein, obwohl ich im Eingangbeitrag schon schrieb, dass ich diesen Fehler quasi ausgeschlossen habe.

Nicht böse gemeint, aber der verlinkte Beitrag hilft mir leider nicht. Da wie gesagt mein Ansatz bereits mit der dortigen Lösung übereinstimmt.
Bitte warten ..
Ähnliche Inhalte
Samba
Samba4 LDAP Search
gelöst Frage von schneerunzelSamba2 Kommentare

Hallo zusammen, mich quälen im Moment zwei Fragen zum Thema Samba4. Folgender Hintergrund: mittlerweile macht es sich doch immer ...

Cloud-Dienste

Cloud-Speicher mit LDAP- und AD Integration

Frage von MasseschleifeCloud-Dienste5 Kommentare

Guten Tag zusammen, ich suche einen Anbieter für Cloud Storage mit LDAP- und AD Integration. Idealerweise läßt sich der ...

ISDN & Analoganschlüsse

Integration analoges Fax

gelöst Frage von niLuxxISDN & Analoganschlüsse6 Kommentare

Liebe Community, ein Kunde (mit sehr wenigen Mitarbeitern) möchte gerne über ein einzelnes Fax-Gerät (HP Color Laserjet) Dokumente versenden. ...

Router & Routing

Sonicwall LDAP mit AD Gruppe und User Problem

Frage von theoberlinRouter & Routing10 Kommentare

Hallo zusammen, ich habe ein kleines Problem im Bezug auf VPN (bzw. Login) mit LDAP über einen Windows Server ...

Neue Wissensbeiträge
Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Tipp von Snowbird vor 1 TagHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Humor (lol)

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 2 TagenHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 2 TagenHumor (lol)17 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 2 TagenWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Heiß diskutierte Inhalte
Router & Routing
Deinstalliertes Geräte wird in FritzBox noch immer als verbundenes Gerät angezeigt
gelöst Frage von imebroRouter & Routing18 Kommentare

Hallo, in meiner FritzBox 7490 wird im Bereich "Funknetz" ein Gereät bei den verbundenen Geräten angezeigt, wobei ich nicht ...

Windows 10
Windows 10 druckt nicht mehrere Kopien?
Frage von StefanKittelWindows 1015 Kommentare

Hallo, ich hatte gerade einen Anruf eines Kunden. Sein neuer PC (Win 10 1903) druckt nicht mehr mehrere Seiten ...

Verschlüsselung & Zertifikate
Mit BitLocker verschlüsselte Festplatte löschen?
gelöst Frage von SnowbirdVerschlüsselung & Zertifikate14 Kommentare

Hallo, ich habe eine mit Bitlocker verschlüsselte externe Festplatte. Diese möchte ich gerne löschen sodass nichts mehr auffindbar ist. ...

Sonstige Systeme
Ist es möglich ein ISDN-Telefon an einen analogen Anschluss anzuschließen?
Frage von cramtroniSonstige Systeme14 Kommentare

Also anders herum geht es ja, da gibt es ja diese Adapter von RJ11 auf TAE-F, aber gibt es ...