Skip to main content

AD-Gruppenimport in FirstPersonalisation

Zendesk API User

Author: der_sk
Publication Date: 3/16/2011 12:03

Hallo zusammen,

wir haben vor, demnächst die Funktionalitäten von FirstPersonalisation im Intranet einzusetzen. Der Login mittels ActiveDirectory (erstmal Requestparameter, später vielleicht Kerberos) funktioniert auch wunderbar. Was aber nicht möglich zu sein scheint ist der Import der AD-Gruppen.

Es gibt zwar die Möglichkeit, Gruppen zu importieren, aber nicht in der Art und Weise, wie es z.B. im FirstSpirit-Serverlogin möglich ist (LDAP.IMPORT_USER.GROUP_ATTRIBUTE=memberof).

Gruppen über "LDAP Group" zu importieren ist bei uns nicht möglich, da die DNs unserer Nutzer sich nicht nur durch den Nutzernamen unterscheiden. Hier wird mal der volle Name hinterlegt, mal der Anmeldename (aus sAMAccountName) - und jedes Mal unterscheidet sich der weitere Pfad (insb. die OUs) nach Organisationseinheit.

Auch das Modul "LDAP Group Iterate" bringt uns nicht weiter, da im Member-Attribut die DNs der Nutzer stehen, nicht die Nutzernamen, welche das Modul zum Vergleich heranzieht.

Da ich mir kaum vorstellen kann, dass wir die einzigen AD-Nutzer mit diesem Problem sind hoffe ich nun hier auf Lösungsvorschläge oder Tipps, was wir übersehen haben.

Vielen Dank im Voraus!

Tags: active_directory, configuration, personalisation

Related to

0

Comments

1 comment

Date Votes
  • Zendesk API User
    Author: marro - 3/18/2011 14:53

    Da "LDAP Group" keine Suche nach Benutzern im LDAP anbietet, kann man in diesem Fall den Weg über das LDAP-Attributemodul gehen. Dazu konfigurieren Sie zusätzlich zum LDAP-Gruppenmodul auch ein LDAP-Attributemodul und wählen als Modus search_compare. Folgende Angaben werden dann vom Modul noch benötigt:

    • Bind DN und Bind Passwort eines LDAP-Accounts, der das ActiveDirectory durchsuchen darf
    • Basis Suchpfad, von dem aus die Suche begonnen werden soll, bspw. cn=Recipients,ou=E-SPIRIT,o=e-Spirit)
    • Suchfilter, der den gesuchten Benutzereintrag im AD identifiziert, bspw. (sAMAccountName=$USER_LOGIN$)

    Der Parameter 'Attribute' kann leer bleiben, wenn man keine Attribute auslesen möchte.

    Das LDAP-Attributemodul sucht den angemeldeten Benutzer dann im AD und merkt sich seinen DN. Das LDAP-Gruppenmodul, welches technisch nach dem Attributemodul aufgerufen wird, kann dann auf den vom Attributemodul hinterlegten DN zugreifen und die Gruppen für diesen Benutzer auslesen. Der Wert des Parameters 'Benutzer DN' des LDAP-Gruppenmoduls wird dann zwar ignoriert, muss aber dennoch angegeben werden.

    Weitere Informationen zum LDAP-Attributemodul finden Sie in der Dokumentation zu FirstSpirit™ Personalisation im Kapitel 3.4.1.

    0

Please sign in to leave a comment.

Didn't find what you were looking for?

New post