Announcement

Collapse
No announcement yet.

Benutzereinstellungen werden überschrieben!

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Benutzereinstellungen werden überschrieben!

    Hallo,

    wir setzen oxldapsync ein, um unsere Benutzer automatisch aus dem LDAP zu holen
    und auf dem OpenXchange einzurichten. Dabei tritt jetzt folgendes Problem auf:
    Bei Benutzern wo via cli bestimmte Features freigeschaltet worden sind (usm, active sync,...) sind nach jeden Aufruf des Sync-Scripts die Werte wieder auf Default zurück
    gestetzt!
    Oder mit anderen Worten - ein IPAD Nutzer kann nur bis zum nächsten Sync die
    Mobilty Oxtender nutzen!
    Wie kann man das verhindern ?

    Ciao, Peer

  • #2
    Hi,

    ich kann das Problem bestätigen. Erfolgt ein Sync gegen LDAP nach einer Änderung in LDAP, wird usm-access für den betroffenen User auf off gesetzt, obwohl im zugehörigen Befehl eigentlich nichts davon steht:

    Code:
    /opt/open-xchange/sbin/changeuser -c 1 --aliases "mail-address" --email mail-address --password "secret" --access-contacts "on" --access-pinboard-write "on"
    --displayname "mein, name" --access-edit-password "off" --smtpserver "smtp" --access-edit-group "off" --city_business "" --mail_folder_spam_name "Junk" 
    --access-edit-resource "off" --access-tasks "on" --surname "nachname" --access-infostore "off" --fax_business "" --access-syncml "on" --access-combination-name "unsere_combi" 
    --position "" --mail_folder_sent_name "Sent" --access-rss-portal "on" --access-forum "on" --telephone_pager "" --access-vcard "on" --country_business "" --state_business "" 
    --url "" --access-webmail "on" --telephone_home1 "" --username "user" --access-calendar "on" --givenname "Vorname" --access-read-create-shared-Folders "on" --access-ical "on" 
    --access-delegate-tasks "on" --room_number "" --mail_folder_drafts_name "Drafts" --info "" --language "de_DE" --access-webdav "on" --access-rss-bookmarks "on" --access-projects "on" 
    --access-edit-public-folder "on" --imapserver "imap" --telephone_isdn "" --street_business "" --access-webdav-xml "on" --telephone_business1 "" --cellular_telephone1 "" --postal_code_business "" 
    user user in context 1 changed
    Hier unser Mapping-File:

    Code:
    #################
    #
    # Mapping file
    # left side Commandline parameter name of ox tool
    # right side value name for ldap or static value
    #
    # enclose static values with "
    
    username                                = uid
    displayname                             = displayName
    givenname                               = givenName
    surname                                 = sn
    password                                = "secret"
    email                                   = mail
    language                                = "de_DE"
    timezone                                =
    department                              =
    company                                 =
    aliases                                 = mailAlternateAddress
    
    access-combination-name                 = "unsere_combi"
    email1                                  =
    mailenabled                             =
    birthday                                =
    anniversary                             =
    branches                                =
    business_category                       =
    postal_code_business                    = postalCode
    state_business                          = st
    street_business                         = streetAddress
    telephone_callback                      =
    city_home                               =
    commercial_register                     =
    country_home                            =
    email2                                  =
    email3                                  =
    employeetype                            =
    fax_business                            = facsimileTelehoneNumber
    fax_home                                =
    fax_other                               =
    imapserver                              = "imap"
    imaplogin                               =
    smtpserver                              = "smtp"
    instant_messenger1                      =
    instant_messenger2                      =
    telephone_ip                            =
    telephone_isdn                          = internationaliSDNNumber
    mail_folder_drafts_name                 = "Drafts"
    mail_folder_sent_name                   = "Sent"
    mail_folder_spam_name                   = "Junk"
    mail_folder_trash_name                  =
    manager_name                            =
    marital_status                          =
    cellular_telephone1                     = mobile
    cellular_telephone2                     =
    info                                    = info
    nickname                                =
    number_of_children                      =
    note                                    =
    number_of_employee                      =
    telephone_pager                         = pager
    password_expired                        =
    telephone_assistant                     =
    telephone_business1                     = telephoneNumber
    telephone_business2                     =
    telephone_car                           =
    telephone_company                       =
    telephone_home1                         = homePhone
    telephone_home2                         =
    telephone_other                         =
    postal_code_home                        =
    profession                              =
    telephone_radio                         =
    room_number                             = roomNumber
    sales_volume                            =
    city_other                              =
    country_other                           =
    middle_name                             =
    postal_code_other                       =
    state_other                             =
    street_other                            =
    spouse_name                             =
    state_home                              =
    street_home                             =
    suffix                                  =
    tax_id                                  =
    telephone_telex                         =
    telephone_ttytdd                        =
    url                                     = wWWHome
    userfield01                             =
    userfield02                             =
    userfield03                             =
    userfield04                             =
    userfield05                             =
    userfield06                             =
    userfield07                             =
    userfield08                             =
    userfield09                             =
    userfield10                             =
    userfield11                             =
    userfield12                             =
    userfield13                             =
    userfield14                             =
    userfield15                             =
    userfield16                             =
    userfield17                             =
    userfield18                             =
    userfield19                             =
    userfield20                             =
    city_business                           = l
    country_business                        = co
    assistant_name                          =
    telephone_primary                       =
    categories                              =
    passwordmech                            =
    mail_folder_confirmed_ham_name          =
    mail_folder_confirmed_spam_name         =
    gui_spam_filter_capabilities_enabled    =
    defaultsenderaddress                    =
    title                                   =
    position                                = title
    access-calendar                         = "on"
    access-contacts                         = "on"
    access-delegate-tasks                   = "on"
    access-edit-public-folder               = "on"
    access-forum                            = "on"
    access-ical                             = "on"
    access-infostore                        = "off"
    access-pinboard-write                   = "on"
    access-projects                         = "on"
    access-read-create-shared-Folders       = "on"
    access-rss-bookmarks                    = "on"
    access-rss-portal                       = "on"
    access-syncml                           = "on"
    access-tasks                            = "on"
    access-vcard                            = "on"
    access-webdav                           = "on"
    access-webdav-xml                       = "on"
    access-webmail                          = "on"
    access-edit-group                       = "off"
    access-edit-resource                    = "off"
    access-edit-password                    = "off"
    Dabei kommen die aktuellen Versionen zum Einsatz (6.20.0.0-4), Problem bestand aber auch schon in der Vorversion 6.18.2

    Laut Aussage im IRC sollte das Flag eigentlich nicht angefasst werden, leider wird es aber angefasst und auch geändert. Da nicht alle unsere Benutzer den Sync brauchen/haben sollen, fällt die Variante, es in das mapping-file aufzunehmen leider weg.

    Wenn es nicht anders geht, können wir wohl ein entsprechendes Feld in LDAP hinterlegen, aber da es eigentlich nicht angefasst werden sollte, wenn es im mapping nicht erwähnt wird, ist es wohl eher als Bug einzustufen?
    Last edited by shecki; 04-04-2011, 01:19 PM. Reason: Zeilenumbrüche

    Comment


    • #3
      "Freut mich zu hören" - ich dachte schon ich bilde es mir ein.
      Da wir die Nutzer bei uns ohnehin Scriptgesteuert anlegen, habe ich
      den SYNC abgestellt und lasse über ein kleines Shellscript den Benutzer anlegen und die Gruppen mappen.
      Funktioniert fast fehlerfrei (Displayname wird falsch gesetzt - macht man das gleiche interaktiv geht es ....).

      Sorry, keine Hilfe - nur zur Info.

      Ciao, Peer

      Comment


      • #4
        Der Aufruf von changeuser entspricht dem konfigurierten Mapping. Ich vermute, dass folgendes passiert:

        Wenn beim Aufruf von /opt/open-xchange/sbin/changeuser das flag --access-combination-name übergeben wird, hat dies zum einen Priorität über alle --access-$FEATURE flags, zum anderen wird die Berechtigung exakt gesetzt, also alles, was nicht explizit in der /opt/open-xchange/etc/admindaemon/ModuleAccessDefinitions.properties definiert ist, wird auf "off" gesetzt.

        Es sollte helfen, aus der Mapping-Datei die Zeile access-combination-name=... rauszunehmen und die gewünschten Werte einzeln mit access-$FEATURE=... zu setzen.

        Grüße,
        Sonja

        Comment


        • #5
          Der vorgeschlagene Weg funktioniert

          Wir haben die access-combi nun entfernt und alle Flags, die gesetzt werden sollen, explizit aufgeführt (war letztlich nur ein einziges, das anders war, als in der access-combi) und damit funktioniert der Sync nun wie erwartet.

          Irgendwie ist es auch logisch, dass bei Übergabe einer Access-Combi, die alle erwähnten Flags auf on setzt, alle nicht erwähnten auf off gesetzt werden.

          Hier könnte man über eine Erweiterung nachdenken, die in einer Access-Combi die Möglichkeit "don't touch" mit einbindet, also insgesamt 3 Zustände:
          on/off/don't touch

          Nur so als Idee

          Comment

          Working...
          X