Hallo,
nach dem Umzug des OSPs auf Ubuntu 20.04 mit php 7.4 gibt es Probleme mit der ldap-Anmeldung (Server V7). Hat jemand schon eine funktionstüchtige local.php für diese Konstellation?
Viele Grüße
Wilfried
Hallo,
der Server ist ein Clon des RocketChat-Servers, den ich ohnehin demnächst deaktivieren werde, da er nahezu nicht benutzt wird und wie hier berichtet, Einschränkungen bei der freien Version drohen. Es wurden die Module für php 7.4 nachinstalliert und dem nginx beigebracht, das portfolio, das bislang noch bei Belwue gehostet ist, auszuliefern.
Meine bei Belwue funktionierende local.php habe ich lediglich beim Punkt „authtype“ modifiziert: Dort steht jetzt „authchained“. Das bewirkt mit Hilfe des installierten Plugins „chained auth plugin“, dass man sich sowohl als lokaler „admin“ (wenn nicht geändert mit dem Erstpasswort) als auch über ldap anmelden kann. Voraussetzung ist, dass man in der Konfiguration des Portfolios folgenden Eintrag abspeichert, der sich nachher auch in der local.php wiederfindet:
Hier noch die wesentlichen Teile meiner local.php:
$conf['authtype'] = 'authchained';
$conf['defaultgroup'] = 'users';
$conf['superuser'] = '@portfolioadm';
$conf['rememberme'] = 0;
$conf['disableactions'] = 'register,resendpwd,profile';
$conf['target']['extern'] = '_tab';
$conf['autoplural'] = 1;
$conf['compress'] = 0;
$conf['plugin']['talkpage']['showbutton'] = 0;
$conf['plugin']['task']['datefield'] = 0;
$conf['plugin']['task']['tasks_formposition'] = 'top';
$conf['plugin']['authmysql']['TablesToLock'] = array();
$conf['plugin']['authchained']['authtypes'] = 'authplain:authldap';
$conf['plugin']['include']['noheader'] = 1;
$conf['plugin']['include']['showuser'] = 0;
$conf['plugin']['include']['showcomments'] = 0;
$conf['plugin']['include']['showlinkbacks'] = 0;
$conf['plugin']['include']['showtags'] = 0;
$conf['plugin']['authldap']['server'] = 'ldaps://x.x.x.x:636';
$conf['plugin']['authldap']['usertree'] = 'OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan';
$conf['plugin']['authldap']['grouptree'] = 'OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan';
$conf['plugin']['authldap']['userfilter'] = 'sAMAccountName=%{user}';
$conf['plugin']['authldap']['groupfilter'] = '(&(objectClass=group)(sophomorixMembers=%{user}))';
$conf['plugin']['authldap']['version'] = 3;
$conf['plugin']['authldap']['binddn'] = 'cn=global-binduser,OU=Management,OU=GLOBAL,DC=linuxmuster,DC=lan';
$conf['plugin']['authldap']['bindpw'] = 'supergeheim';
$conf['plugin']['authldap']['debug'] = 1;
Wie gesagt, die lokale Anmeldung als admin geht und es wird alles korrekt angezeigt. Leider geht’s nicht über ldap, es kommen die ernüchternde Meldungen: " LDAP: couldn’t connect to LDAP server,
Can’t contact LDAP server [auth.php:603], Benutzername oder Passwort sind falsch."
Viele Grüße
Wilfried
Hallo Wilfried,
hab ich das richtig: du willst von BelWü auf einen eigenen Server migrieren: und auf dem neuen geht die Anmeldung per LDAP nciht?
Hast du den Port in der Firewall der lmn freigegeben? Auch für den Neuen Server?
LG
Holger
Hallo Holger,
ja. In der OPNsense gibt es ja unter „Firewall: NAT: Portweiterleitung“ eine Regel für 636. Dies funktioniert auch für BBB und die Nextcloud, die ich beide auf eigenen Servern laufen habe, und zwar ohne diese Server nochmals explizit in der Firewall freizuschalten.
Wenn ich auf dem betroffenen Portfolio-Server „telnet IP des Servers 636“ absetze, bekomme ich eine positive Rückmeldung. Eventuell läuft die OSP-Version ruffnut nicht auf Ubuntu 20.04 mit php 7.4.
Viele Grüße
Wilfried
PS: Vielleicht weiß Frank Schiebel mehr, wenn ich mich recht erinnere, sind die Supportseiten für sein Baby ja bei ask.linuxmuster.net.
Hallo,
ich denke, es liegt nicht an der grundsätzlichen Konfiguration, sondern daran, dass ich als Grundlage den RocketChat-Server genommen habe:
Mit Hilfe der folgenden Seite:
https://www.php.net/manual/de/function.ldap-bind.php
kann man leicht ein php-Script erstellen, dass die Verbindung zum Ldap-Server auf der Konsole überprüft. Bei mir mit folgendem Ergebnis: RocketChat-Server negativ, vergleichbarer Nextcloud-Server positiv. Ich werde demnächst also das Ganze neu aufsetzten und dann geht’s hoffentlich.
Viele Grüße
Wilfried
Hallo,
jetzt läuft’s. In der /etc/ldap/ldap.conf musste ich unten noch:
TLS_REQCERT never
hinzufügen.
Viele Grüße
Wilfried