Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 3906 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ldap User Group Issues

Corey3443
Ok, so ive set up ldap to dish out my users, and its working perfectly. Now i would like to take it a step further and use Ldap group membership.

Now following the !help file, ive setup the following:

Groupname : LdapModerator
Backend : LDAP

Check an LDAP Attribute : Tricked.
Attribute: groupMembership
value: cn=moderators,ou=groups

does that look about right? because its not doing it for me.


This thread was automatically locked due to age.
  • 0
    What do you mean by "it's not doing it" - specifically what do you observe?  Where are you trying to use these groups?  What LDAP server are you using?  What exact version of Astaro?

    Cheers - Bob
  • 0
    Sry Bob if my question was a bit vague.

    Currently i have 3 User Groups, each which are store on astaro. I use these groups in firewall/proxy profile rules. I want to make it more dynamic by having them uses Group Membership from ldap instead.

    Example. instead of having the "VPN Users" Group, it will see that user when "test" authenticate, it is in group VPN Users in LDAP cn=VPN,ou=groups. From my understanding you could do that with "LDAP Back-end membership" only Group, if you use a attribute.

    If i try to use this rule as a replacement, it doesn't seem to work. But if i place the Remote "Authenticate User Object" into a local group it works.
    Hope that makes sense.

    ASG 8.202, OpenLDAP
  • 0
    Well, a couple things.  First, if you have users defined locally already, you will have difficulty getting authentication for the same username in a backend LDAP group in some places.  Maybe someone else here knows enough to say exactly which things won't work.  I also know that having an AD server above a RADIUS server defined on the AD doesn't work, so, if you already have a RADIUS server defined on your LDAP server, then try moving the RADIUS server below the LDAP server.

    Second, using anything other than Microsoft LDAP is tricky.  I remember people not having much success with it in 7.3 and 7.4, but not much discussion about it in 7.5.  I don't recall seeing anyone using it in V8.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks Again Bob
    Im not LDAP expert either, infact i've only been using it for about 5days. 

    The idea was to centralize our password schemes, because with so much stuff requiring passwords, made sense to have them all come from the same place.

    First, if you have users defined locally already, you will have difficulty getting authentication for the same username in a backend LDAP group in some places.

    Other than 2 Users, (neither of which i was using in the test)  have been deleted the rest to make room for there Backend Versions.

    I also know that having an AD server above a RADIUS server defined on the AD doesn't work, so, if you already have a RADIUS server defined on your LDAP server, then try moving the RADIUS server below the LDAP server.

    I did think about this, but just incase, i disabled and placed it below before hand incase it was messing with my results.

    I think im just missing something on the ASG side. Because my "Group Membership" are being picked up by other applications that i'm using ldap for.

    Its just the Attribute Thingy that has me confused i think.
    My understand is: 

    • ASG will first Authenticate the User, (which it does flawlessly),
    • Will Check Any Backend User Groups on ASG
  • 0
    Check out the trick of simulating AD for the SMTP Proxy.  Search in the KnowledgeBase on LDAP.  That might give you an idea.  In any case, it's probably important to be sure that attribute names and contents are all lower-case alphanumeric characters.

    Cheers - Bob