Hallo zusammen,

ich habe einen LDAP-Server aufgesetzt und bin gerade dabei einige Web-Tools einzurichten. Jetzt bin ich auf folgendes Problem gestoßen:

Struktur:


dc=ldap,dc=example,dc=com
cn=admin
ou=People
ou=IT
uid=testUser2
uid=testUser1


Wenn ich ein Web-Tool (wie z.B. redmine, SugarCRM) mit dem LDAP-Server verbinde, kann sich nur ein User einloggen, der direkt in der Gruppe 'ou=People' ist. Wenn sich ein User in der darunterliegenden gruppe 'ou=IT,ou=People' befindet, kann sich dieser nicht einloggen (was logisch ist, da er ja nicht dem eingestellten DN 'ou=People,dc=ldap,dc=example,dc=com' entspricht).

Deswegen meine Frage: ist es möglich einer organizationUnit ein entsprechendes Attribut zu geben, das es ermöglicht auch darunter liegende OUs zu durchsuchen? Oder bin ich die ganze Sache generell falsch angegangen?

Wie hast du die Anmeldung am LDAP eingerichtet?? Benutzt du einen Simple BIND oder per SASL???

Ob der Benutzer zu finden ist, hängt vom Suchfilter ab und vom Typ der Suchanfrage. Wenn Du per onelevel suchst, wird nur in genau dem Zweig von "base" gesucht, per sub auch in allen darunter liegenden Zweigen. In hierarchischen Datenbanken wird häufig "sub" verwendet ;-)
Du kannst bei OpenLDAP den loglevel mal auf 256 setzen und somit die Anfragen protokollieren.

HTH,
mamue

Die Anmeldung erfolg per Simple Bind.

Es sieht ganz so aus, als ob die Suche von den eingesetzten Tools auf eine Ebene beschränkt ist.
Da ich die Tools nicht unbedingt modifizieren will, habe ich mich jetzt für eine etwas andere Struktur entschieden (Eine Gruppe mit allen Usern und eine Gruppe in der die User-Gruppen strukturiert sind und die User per memberUid (objectClass posixGroup) referenziert sind).

Soweit sieht jetzt alles aus, dass es so läuft, wie ich das brauche. Danke für eure Tipps.