LDAP: Korrekter User-Filter gesucht

Michael · 12. Oktober 2021 um 14:35

Hallo.
Hier wird eine LDAP-Verbindung aufgebaut, die sämtliche User und Gruppen finden soll. Voreingestellt ist:

user_searchFilterTemplate: '(&(sAMAccountName=%v)(objectClass=user))'

was aber leider zu viel findet. Wenn man das so macht, werden auch die Maschinenkonten wie z.B. Yoga-12-14$ gefunden, die bei den Usern natürlich nicht gelistet werden sollen.

Genau das gleiche gilt für die Gruppen. Zur Zeit steht da

group_searchFilterTemplate: '(&(cn=%v)(objectClass=group))'

Das findet aber auch so seltsame Gruppen wie all-printing u.ä., die in diesem Zusammenhang ebenfalls ausgblendet werden sollen.

Wie kann man die Suche so eingrenzen, dass tatsächlich nur die echten User und die echten Gruppen auftauchen?
Viele Grüße,
Michael

Arnaud · 12. Oktober 2021 um 14:53

Hallo Michael,

objectClass=person

begrenzt die Suche auf reelle Usern. Ich habe noch nicht ausprobiert mit Gruppen.

Gruß

Arnaud

Michael · 12. Oktober 2021 um 15:22

Hallo Arnaud,
danke, ich ändere das. Gibt’s für Gruppen etwas entsprechendes?
Viele Grüße,
Michael

Arnaud · 12. Oktober 2021 um 15:45

Hallo Michael,

Deine Frage mit den Gruppen ist nicht klar genug : was ist für dich eine echte Gruppe ? ( Klasse, Projekt, Drucker ? )

Für deine besondere Anfrage kannst du wahrscheinlich mit dem Filter sophomorixType=adminclass z.B. arbeiten ( adminclass um die Klassen zu filtern ).

Gruß

Arnaud

Tobias · 12. Oktober 2021 um 15:58

Hallo Michael,

in meiner Cloud habe ich das

(&(objectclass=group)(|(cn=role-student)(cn=agbogy)(cn=ehemalige)(cn=musiklehrkraefte)(cn=schulbegleiter)(cn=sekretariat)(cn=teachers)(cn=p_*)(cn=*_2122)))

um Gruppen zu matchen, die ich gerne hätte.

*_2122 sind meine Klassen. Das ist deutlich einfacher als nach 5a, 5b, 5c, 5d usw zu matchen. In einem Jahr gibt es eine 5e im nächsten Jahr wieder nicht…Aber das geht halt nur bei uns so, weil wir die Klasse 5a_2122 nennen.
p_* erwischt alle Projekte
warum ich role-student drin habe, ~~weiß ich auch nicht~~weiß ich jetzt auch wieder: damit ich alle Schüler auf einmal erreichen kann… ist natürlich heikel, je größer die Gruppe ist, die dann ja allen zur Verfügung steht… alle anderen sind Klassen aus extrastudents…

VG, Tobias

Michael · 13. Oktober 2021 um 17:42

Ich habe es mir gerade nochmal angesehen. Leider klappt es nicht. Wenn man ldapsearch mit dem Suchfilter objectClass=person verwendet, werden dennoch Geräte ausgespuckt.

ldapsearch  ..... '(&(sAMAccountName=*)(objectClass=person))'  |grep YOGA

findet auch weiterhin alle Maschinenkonten (bei uns Yoga-12-Geräte) und

ldapsearch  ..... '(objectClass=person)'  |grep YOGA

ebenfalls. Mit welchem Merkmal kann man das noch unterscheiden?

Michael · 13. Oktober 2021 um 19:24

ich habe jetzt diesen Filter eingestellt … mal sehen:

'(&(!(sophomorixAdminClass=attic))(|(sophomorixRole=student)(sophomorixRole=teacher)(sophomorixAdminClass=hausmeister)(sophomorixAdminClass=sekretariat)(sophomorixAdminClass=extraschueler)))'

Arnaud · 14. Oktober 2021 um 15:00

Ja, es stimmt, ich habe es gar nicht gesehen, das ist nicht optimal.

Gruß

Arnaud

ebert · 18. Oktober 2021 um 11:15

Wenn das System es zulässt (z.B. Moodle und Nextcloud) gebe ich immer zwei Basis-DNs für die Benutzersuche an, nämlich ou=students,... und ou=teachers,.... Dann bleibt aber noch das Problem, die attic-User loszuwerden, da der ou=attic unterhalb von ou=students hängt. Mit den Basis-DNs sind aber Geräte etc. schon mal ausgeschlossen.