Osp belwue ldap Authentifizierung: Fehlersuche

Hallo,
wir sind von 6.2 auf die neue 7er Version umgezogen. Dadurch haben sich einige Dinge verändert.
Ich hab zwar eine angepasste local.php aber die Anmeldung klappt leider noch nicht.

Die Fehlermeldung auf der Webseite lautet:
„Benutzername oder Passwort sind falsch.“

Kann ich irgendwie zunächst prüfen, ob belwue überhaupt durch die Sophos auf den ldap kommt?
Und gibt es vielleicht irgendwo ein Logfile auf dem osp auf dem belwue-server?

Viele Grüße
Matthias Lauffer

Hallo Matthias,

Die Fehlermeldung auf der Webseite lautet:
„Benutzername oder Passwort sind falsch.“

Kann ich irgendwie zunächst prüfen, ob belwue überhaupt durch die Sophos
auf den ldap kommt?
Und gibt es vielleicht irgendwo ein Logfile auf dem osp auf dem
belwue-server?

die Meldung klingt ja so, als würde der LDAP erreicht, nur das Format
stimmt nicht.
Such mal in ASK nach OSP, da steht bestimmt irgend wo drin, wie man die
Einträge machen muss.
Bei meinem OSP klappt es ja auch nach Umzug auf die lmn7 (letztes Jahr)

LG

Holger

Hallo Holger,
nur kurz: Was bedeutet denn die Abkürzung ASK?
LG
Matthias

Hallo Matthias,

nur kurz: Was bedeutet denn die Abkürzung ASK?

damit meine ich
ask.linuxmuster.net :slight_smile:

LG

Holger

Hallo Holger,
ah - dumm von mir - danke.
LG Matthias

Hallo,

das folgende sollte tun;

$conf['plugin']['authldap']['server'] = 'ldaps://dein.server.tld';
$conf['plugin']['authldap']['port'] = 636;
$conf['plugin']['authldap']['debug'] = 1;
$conf['plugin']['authldap']['usertree'] = 'OU=Teachers,OU=default-school,OU=SCHOOLS,DC=deine,DC=daten';
$conf['plugin']['authldap']['grouptree'] = 'OU=default-school,OU=SCHOOLS,DC=deine,DC=daten';
$conf['plugin']['authldap']['userfilter'] = 'sAMAccountName=%{user}';
$conf['plugin']['authldap']['groupfilter'] = '(&(objectClass=group)(sophomorixMembers=%{user}))';
$conf['plugin']['authldap']['version'] = 3;
$conf['plugin']['authldap']['binddn'] = 'cn=spo-binduser,OU=Management,OU=GLOBAL,DC=deine,DC=daten';
$conf['plugin']['authldap']['bindpw'] = 'BASE64-ENCODED-BINDDN-PASSWORD';

Bei Usertree können in diesem Beispiel nur Lehrer rein, da muss man das OU=Teachers weglassen,wenn Schüler auch können sollen.

Beim Groupfilter ist das „LMN proprietäre“ Sophomorix Attribut noch drin, das kann man wahrscheinlich durch Verwendung der dn des Users noch wegbekommen.

Das Base64 encodete Passort wird beim aktuellen OSP automatisch korrekt eingetragen, wenn man die Konfiguration im Config-manager von Dokuwiki vornimmt, also nicht direkt in local.php

Gruß, Frank

Hallo Frank,

vielen Dank für deine Infos.

leider bekomme ich noch folgende Meldungen:

(!) LDAP: couldn’t connect to LDAP server
(i) Invalid credentials [auth.php:603]
(!) Benutzername oder Passwort sind falsch.

server und die Angaben DC=… sind so wie auch in unerem moodle bei belwue.
Und mit dem geht die Authentifizierung gegen den ldap

userfilter und groupfilter hab ich so wie von dir hier gepostet angepasst
Die Änderungen hab ich auf der Weboberfläche im Konfigurations-Manager gemacht.

Worauf deutet der Hinweis: Invalid credentials [auth.php:603]

Viele Grüße
Matthias

Hallo Matthias,

Worauf deutet der Hinweis: Invalid credentials [auth.php:603]

bindusername und/oder Passwort stimmt nicht.

LG

Holger

Hallo Holger,
was ist denn der bindusername?

Ok… vermutlich kommt der Fehler dann zwingend, wenn zunächst der connect Fehler auf den ldap kommt.

LG Matthias

Hallo Matthias,

bei mir sehen die betroffenen Zeilen so aus:

$conf['plugin']['authldap']['binddn'] = 'cn=global-binduser,OU=Management,OU=GLOBAL,DC=linuxmuster,DC=lan';
$conf['plugin']['authldap']['bindpw'] = 'Das steht hier: /etc/linuxmuster/.secret/global-binduser';

@ironiemix: Danke, klappt soweit alles. Probleme bekomme ich nur, wenn ich weiter oben:

$conf['superuser'] = 'p_portfolioadm';

also die Gruppe für den Superuser angebe. Aber da die Gruppe ohnehin nur ein Mitglied hat ('portfolio'), geht es mit dieser Angabe :slightly_smiling_face:

Viele Grüße

Wilfried

Hallo Wilfried,
vielen Dank dir.
Ich komme leider gerade nicht mehr per admin auf das portfolio.

No ACL setup yet! Denying access to everyone.

Möglicherweise war eine Empfehlung bei den Erweiterungen doch nicht empfehlenswert.
Eine Addons sollten (laut Empfehlung dort) deaktiviert werden.

Nun bin ich auf der Suche in welcher Datei die entsprechende Deaktivierung geschrieben wurde.
Leider kann ich nur per FileZilla auf den Server zugreifen. Und daher nicht im Dateibaum nach Inhalten und zuletzt geschriebenen Files suchen.

Leider kann ich auch nicht auf ein nachinstalliertes Portfolio, das ich auch ins htdoc kopiert haben zugreifen.
Eigentlich sollte das andere dort mit der entsprechenden Anpassung in der url auch aufgerufen werden könnne. Bei einem alten Backup, das dort auch noch liegt geht das kurioser weise.

Jetzt schau ich mal, ob ich das aktuelle Portfolio komplett runtergeladen bekomme und auf einem eigenen Server testweise zum Laufen bekomme.
Dort hab ich ja dann mehr Möglichkeiten nach Dateiinhalten zu suchen.

Viele Grüße
Matthias

Hallo Matthias,

Du schriebst Ihr seid umgezogen. An anderer Stelle hier im Forum wurde diskutiert dass es Probleme mit umgezogenen Usern gab die weniger als sechs Buchstaben für das Passwort verwendet haben. Vielleicht ist es ein Ansatz den Usern neue Passwörter zu setzen. Du kannst es mit einem erst mal testen.

Gruß

Alois

Hallo Alois,
vielen Dank auch für deinen Tipp.

Ich hab momentan wohl zuerst zwei Andere Probleme zu lösen, bevor ich das testen kann.

  1. Ich komme mit https://portfolio.„unsereschule“.de/portfolio/doku.php ja auf unser normales osp.
    Ich hab aber auf belwue unter …/htdoc/ nicht nur nur den Ordner portfolio, sondern auch ältere Versionen.
    Die kann ich dann mit
    https://portfolio.„unsereschule“.de/portfolio-202003/doku.php
    aufrufen.

Nun hab ich mal (wegen den beschriebenen Problemen) eine neue Portfolioinstallation inden htdoc Ordner kopiert (natürlich nicht mit dem Ordnernamen portfolio).
Seltsamerweise kann ich den nicht so:
https://portfolio.„unsereschule“.de/portfolio-neu/doku.php

öffnen. Obwohl der Ordner auch so heißt und ich zur sicherheit auch noch die index.htm angepasst hab.

  1. Wie gesagt meine ganzen Aktionen haben ihren Anfang am Fehler:
    No ACL setup yet! Denying access to everyone. (im normalen portfolio)

Wollte mit einer neuen Installation (siehe 1.) dem auf die Schliche kommen. aber da hängts halt grad auch.
Daher wie in meinem letzten Post, momentan gerade den Versuch selber einen apache2 Server in Betrieb zu nehmen, auf dem man das ganze testen kann.

Daher vielen Dank für die Tipps, aber vermutlich kann mir da jetzt direkt so keiner weiterhelfen.

Viele Grüße
Matthias

Hallo,

kurzes Update zur Problembeschreibung:

Interessanterweise kann ich mich als lokaler admin auf dem osp anmelden, wenn ich es auf einen anderen Webserver kopiere.
Auf Belwue erscheint der genannte Fehler: No ACL setup yet! Denying access to everyone.

Viele Grüße
Matthias
D.h. ich

Hallo,
nun hab ich das Portfolio nun auf einem anderen Webserver erfolgreich zum laufen bekommen. Auch mit der ldaps Anbindung. (Der kann aber nicht als Ersatz für Belwue dienen)
Diesen Portfolio Ordner hab ich dann auf den BelWue Server geschoben.

Danach erreichen mich wieder die oben genannten Fehler.
Belwue hat mir geantwortet und gesagt, dass sie keine Auskunft über die Konfiguration des Portfolios geben können.

Darf ich denn eine osp Installation von einem eigenen Server so nicht einfach auf den belwue Server hoch kopieren?

Viele Grüße
Matthias Lauffer

Problem ist mittlerweile gelöst.
Viele Grüße - Matthias

matthiasL

1min

Hallo zusammen, (Weil ich nach meiner Lösung gefragt wurde)

ist eine vertrackte Sache gewesen

Wie so oft, so sind hier auch zwei Dinge zusammen gekommen…
Umstellung lmn7 und Anpassung ldap.conf u. ein nicht von mir registrierter Umzug des ops von BelWue auf einen anderen Server (Das FAX mit den Logindaten ist vermutlich nie bei mir angekommen).
So konnten die ersten Versuche an der ldap.conf keinen Erfolg bringen, da ich diese Änderungen auf dem alten Server vorgenommen habe. (Ein eigener Server zeigte ja dann, dass die ldap.conf passt)
Daraufhin kam dann nach vielen vielen Tagen doch die Antwort von BelWue … und ich bekam dann auch das notwendige Fax mit den Login-Daten.

Tut mir leid für alle die sich hier fast unnötig Gedanken gemacht haben.

Viele Grüße
Matthias Lauffer

Hallo Matthias,

danke für deine Rückmeldung. :+1:

Muss dir nicht Leid tun! Ich glaube die meisten hier haben schon selber mit solchen Ursachen zu kämpfen gehabt. Von daher ziehen wir alle an einem Strang und das macht auch einen großen Teil von linuxmuster.net aus. Es ist für mich nämlich mehr als ein Haufen von Bits und Bytes.

Beste Grüße

Thorsten