der_sk
I'm new here

AD-Gruppenimport in FirstPersonalisation

Jump to solution

Hallo zusammen,

wir haben vor, demnächst die Funktionalitäten von FirstPersonalisation im Intranet einzusetzen. Der Login mittels ActiveDirectory (erstmal Requestparameter, später vielleicht Kerberos) funktioniert auch wunderbar. Was aber nicht möglich zu sein scheint ist der Import der AD-Gruppen.

Es gibt zwar die Möglichkeit, Gruppen zu importieren, aber nicht in der Art und Weise, wie es z.B. im FirstSpirit-Serverlogin möglich ist (LDAP.IMPORT_USER.GROUP_ATTRIBUTE=memberof).

Gruppen über "LDAP Group" zu importieren ist bei uns nicht möglich, da die DNs unserer Nutzer sich nicht nur durch den Nutzernamen unterscheiden. Hier wird mal der volle Name hinterlegt, mal der Anmeldename (aus sAMAccountName) - und jedes Mal unterscheidet sich der weitere Pfad (insb. die OUs) nach Organisationseinheit.

Auch das Modul "LDAP Group Iterate" bringt uns nicht weiter, da im Member-Attribut die DNs der Nutzer stehen, nicht die Nutzernamen, welche das Modul zum Vergleich heranzieht.

Da ich mir kaum vorstellen kann, dass wir die einzigen AD-Nutzer mit diesem Problem sind hoffe ich nun hier auf Lösungsvorschläge oder Tipps, was wir übersehen haben.

Vielen Dank im Voraus!

1 Solution

Accepted Solutions
marro
Crownpeak employee

Da "LDAP Group" keine Suche nach Benutzern im LDAP anbietet, kann man in diesem Fall den Weg über das LDAP-Attributemodul gehen. Dazu konfigurieren Sie zusätzlich zum LDAP-Gruppenmodul auch ein LDAP-Attributemodul und wählen als Modus search_compare. Folgende Angaben werden dann vom Modul noch benötigt:

  • Bind DN und Bind Passwort eines LDAP-Accounts, der das ActiveDirectory durchsuchen darf
  • Basis Suchpfad, von dem aus die Suche begonnen werden soll, bspw. cn=Recipients,ou=E-SPIRIT,o=e-Spirit)
  • Suchfilter, der den gesuchten Benutzereintrag im AD identifiziert, bspw. (sAMAccountName=$USER_LOGIN$)

Der Parameter 'Attribute' kann leer bleiben, wenn man keine Attribute auslesen möchte.

Das LDAP-Attributemodul sucht den angemeldeten Benutzer dann im AD und merkt sich seinen DN. Das LDAP-Gruppenmodul, welches technisch nach dem Attributemodul aufgerufen wird, kann dann auf den vom Attributemodul hinterlegten DN zugreifen und die Gruppen für diesen Benutzer auslesen. Der Wert des Parameters 'Benutzer DN' des LDAP-Gruppenmoduls wird dann zwar ignoriert, muss aber dennoch angegeben werden.

Weitere Informationen zum LDAP-Attributemodul finden Sie in der Dokumentation zu FirstSpirit™ Personalisation im Kapitel 3.4.1.

View solution in original post

2 Replies
marro
Crownpeak employee

Da "LDAP Group" keine Suche nach Benutzern im LDAP anbietet, kann man in diesem Fall den Weg über das LDAP-Attributemodul gehen. Dazu konfigurieren Sie zusätzlich zum LDAP-Gruppenmodul auch ein LDAP-Attributemodul und wählen als Modus search_compare. Folgende Angaben werden dann vom Modul noch benötigt:

  • Bind DN und Bind Passwort eines LDAP-Accounts, der das ActiveDirectory durchsuchen darf
  • Basis Suchpfad, von dem aus die Suche begonnen werden soll, bspw. cn=Recipients,ou=E-SPIRIT,o=e-Spirit)
  • Suchfilter, der den gesuchten Benutzereintrag im AD identifiziert, bspw. (sAMAccountName=$USER_LOGIN$)

Der Parameter 'Attribute' kann leer bleiben, wenn man keine Attribute auslesen möchte.

Das LDAP-Attributemodul sucht den angemeldeten Benutzer dann im AD und merkt sich seinen DN. Das LDAP-Gruppenmodul, welches technisch nach dem Attributemodul aufgerufen wird, kann dann auf den vom Attributemodul hinterlegten DN zugreifen und die Gruppen für diesen Benutzer auslesen. Der Wert des Parameters 'Benutzer DN' des LDAP-Gruppenmoduls wird dann zwar ignoriert, muss aber dennoch angegeben werden.

Weitere Informationen zum LDAP-Attributemodul finden Sie in der Dokumentation zu FirstSpirit™ Personalisation im Kapitel 3.4.1.

Vielen Dank, funktioniert wunderbar!

0 Kudos