LDAP-AD Gruppensync funktioniert nicht

nandon · ‎3 May 2013

Aktuell werden zwar die User aus dem LDAP (openLDAP) synchronisiert, aber die Gruppen nicht.
Ich habe den Eindruck, dass meine Konfiguration ein wenig gegeneinander arbeitet.
Sobald ich zum Beispiel den synchronization-Teil aus meiner ldap-ad-authentication.properties herausnehme und in die alfresco-global.properties hineinschreibe, funktioniert die Synchronisation der User auch nicht mehr.
Ich bin auch echt nicht sicher, ob die Authentication-Chain so sauber ist… Im Prinzip wollte ich damit nur erreichen, dass man Alfresco-Netzlaufwerke mittels CIFS einbinden kann. Vor der Anpassung der Authentication-Chain hat die User- und Gruppensynchronisation wunderbar funktioniert (damals war noch alles in der alfresco-global.properties).
Meine Frage lautet: Ist die Konfiguration in der Form korrekt und wenn nicht, was muss ich ändern, damit meine Anforderungen erfüllt werden?
Zusätzlich habe ich noch eine (triviale) Frage: Bei diversen anderen Beispielen aus dem Netz ist bei den LDAP-Binds immer ein \ vor dem = geschrieben worden. In welchen Fällen wird dieser \ benötigt? (ou=People,dc=directory,dc=anovio,dc=de <-> ou\=People,dc\=directory,dc\=anovio,dc\=de)

Nachfolgend meine 4 Konfigurationsdateien:

/opt/alfresco/tomcat/shared/classes/alfresco-global.properties


…
# LDAP Configuration
# The default authentication chain^
# To configure external authentication subsystems see:^
# http://wiki.alfresco.com/wiki/Alfresco_Authentication_Subsystems^
#————-^
authentication.chain=alfrescoNtlm1:alfrescoNtlm,passthru1:passthru,ldap1:ldap-ad
# further config files located in subfolders @ /opt/alfresco/tomcat/shared/classes/alfresco/extension/subsystems/Authentication/

# Re-Index content after startup
# Used after migration
#index.recovery.mode=AUTO

cifs.pseudoFiles.enabled=false
#cifs.pseudoFiles.explorerURL.enabled=false
#cifs.pseudoFiles.shareURL.enabled=false
filesystem.avm.enabled=true
#filesystem.avm.stores=normal,site,staging,author
filesystem.avm.stores=
‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

/opt/alfresco/tomcat/shared/classes/alfresco/extension/subsystems/Authentication/ldap-ad/ldap-ad1/ldap-ad-authentication.properties
Anmerkung: das Passwort ist hier durch *** erstzt worden


ldap.authentication.active=false
ldap.authentication.allowGuestLogin=true
ldap.authentication.userNameFormat=uid=%s,ou=People,dc=directory,dc=anovio,dc=de
ldap.authentication.java.naming.provider.url=ldap://directory:389
ldap.authentication.java.naming.security.authentication=simple
ldap.authentication.defaultAdministratorUserNames=admin,administrator,root,Manager

ldap.synchronization.active=true
ldap.synchronization.java.naming.security.principal=cn=Manager,dc=directory,dc=anovio,dc=de
ldap.synchronization.java.naming.security.credentials=***
ldap.synchronization.queryBatchSize=0
ldap.synchronization.attributeBatchSize=0
ldap.synchronization.groupQuery=(objectClass=groupOfNames)
ldap.synchronization.groupDifferentialQuery=(objectClass=groupOfNames)
ldap.synchronization.personQuery=(objectClass=inetOrgPerson)
ldap.synchronization.personDifferentialQuery=(objectClass=inetOrgPerson)
ldap.synchronization.groupSearchBase=ou=dms_groups,dc=directory,dc=anovio,dc=de
ldap.synchronization.userSearchBase=ou=People,dc=directory,dc=anovio,dc=de
ldap.synchronization.timestampFormat=yyyyMMddHHmmss'Z'

ldap.synchronization.userIdAttributeName=uid
ldap.synchronization.userFirstNameAttributeName=givenName
ldap.synchronization.userLastNameAttributeName=sn
ldap.synchronization.userEmailAttributeName=mail
ldap.synchronization.userOrganizationalIdAttributeName=uid
ldap.synchronization.defaultHomeFolderProvider=userHomesHomeFolderProvider
ldap.synchronization.groupIdAttributeName=cn
ldap.synchronization.groupDisplayNameAttributeName=description
ldap.synchronization.groupType=groupOfNames
ldap.synchronization.personType=inetOrgPerson
ldap.synchronization.groupMemberAttributeName=member
ldap.synchronization.enableProgressEstimation=true

synchronization.synchronizeChangesOnly=false
synchronization.import.cron=0 0/15 * * * ?
synchronization.syncOnStartup=true
synchronization.syncWhenMissingPeopleLogIn=true
synchronization.autoCreatePeopleOnLogin=false
‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

/opt/alfresco/tomcat/shared/classes/alfresco/extension/subsystems/Authentication/alfrescoNtlm/alfrescoNtlm1/alfresco-authentication.properties


ntlm.authentication.sso.enabled=false
alfresco.authentication.allowGuestLogin=true
alfresco.authentication.authenticateCIFS=false
‍‍‍‍‍

/opt/alfresco/tomcat/shared/classes/alfresco/extension/subsystems/Authentication/passthru/passthru1/passthru-authentication-context.properties


ntlm.authentication.sso.enabled=false
passthru.authentication.useLocalServer=false
passthru.authentication.domain=
passthru.authentication.servers=172.17.3.6
passthru.authentication.guestAccess=true
passthru.authentication.defaultAdministratorUserNames=root
#Timeout value when opening a session to an authentication server, in milliseconds
passthru.authentication.connectTimeout=5000
#Offline server check interval in seconds
passthru.authentication.offlineCheckInterval=300
passthru.authentication.protocolOrder=NetBIOS,TCPIP
passthru.authentication.authenticateCIFS=true
passthru.authentication.authenticateFTP=true
‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

hgindl · ‎6 May 2013

<blockcode>
alle Vorkommen von #, !, =, und : in Key oder Value müssen durch \#, \!, \= und \: ersetzt werden
</blockcode>

Lg
Hannes

nandon · ‎21 May 2013

Vielen Dank für die Antwort.
Ich habe das jetzt soweit mal angepasst, aber anscheinend hat die Schreibweise mit \ oder ohne absolut keinen Einfluss auf das Verhalten von alfresco.

Der Personen- und Gruppensync funktionierte bei mir erst wieder, nachdem ich alle configurationsinhalte von oben in die Alfresco-global.properties geschrieben habe.
Irgendwie hat er die Infos nicht sauber aus den Authentication-Subsystems rauslesen können.