Owncloud ldap не работает

OwnCloud проблема с LDAP

Настроил все как написано вот тут https://vorkbaard.nl/add-owncloud-6-0-to-active-directory-2012-r2/ но не фига не работает пишет вот такую ошибку. Конфигурация некорректна. Проверьте журналы для уточнения деталей. Сервак owncloud поднял на WinServer 2008

Warning user_ldap Configuration Error (prefix s02): login filter does not contain %uid place holder. 2015-05-19T07:44:11+00:00 Warning user_ldap Configuration Error (prefix s02): No LDAP Login Filter given! 2015-05-19T07:44:11+00:00 Info user_ldap No group filter is specified, LDAP group feature will not be used. 2015-05-19T07:44:11+00:00

Кто может подсказать что такое?

Судя по ошибке у тебя на странице login filter нигде не указан %uid. Проверь настройки ещё раз, выложи скрин.

Скрин

http://rghost.ru/79BG8M9Mr Скажи если еще скрины нужны каких вкладок. И еще забыл написать что у меня нет возможности редактирования вкладки фильтр логинов я не могу галочку поставить Имя пользователя LDAP

sAMAccountName=%uid в Login Filter.

Не понял объясни пожалуйста по подробнее не очень селен в линухе и own cloud что такое sAMAccountName и куда его писать?

Линукс тут не при чем. Строчка «sAMAccountName=%uid» — это минимальный Login Filter (закладка «Фильтр Логинов»), т.е. «выбирать из Active Directory пользователя, для которого поле login совпадает с именем, введенным в логин-форму ownCloud».

Спасибо огромное все заработало.

Ура.
Теперь о красоте.
У меня в AD создан отдельный OU «ownCloud», в котором есть группа oc_allowed, и еще несколько групп, входящих в нее. В фильтре логинов строчка такая:

Источник

Owncloud + подключение к LDAP на базе WinServer, не получается.

Развернул Owncloud на CentOS 7, все проапдейтил, стоят последние обновления от 23.03.15.Согласно документации прописал доступ к DC на базе Win 2012 R2 Server.

• Server 192.168.50.5
• DN пользователя cn=own,ou=ServicesIT,ou=maximice,dc=mice,dc=local
• пароль — пароль
• Base DN ou=maximice,dc=mice,dc=local

Данные настройки применял раннее на CentOS 6.5 и Owncloud 7, все прекрасно работало.

Информация по ошибкам: Конфигурация некорректна

При проверке конфигурации — Конфигурация корректна, но операция подключения завершилась неудачно.Проверьте настройки сервера и учетные данные.

Bind failed: -1: Can’t contact LDAP server

проверь, что с CentOS у тебя доступен LDAP сервер 192.168.50.5

Забыл признаться, что с Линухом я на ВЫ, не ругайте если буду спрашивать глупость

ldapsearch -H ldap://192.168.50.5 -x -D «cn=own,ou=ServicesIT,ou=maximice,dc=mice,dc=local» -b ou=maximice,dc=mice,dc=local -w

данная команда не выполняется, пишет не найдена такая команда [root@srv010

]# ldapsearch -H ldap://192.168.50.5 -bash: ldapsearch: команда не найдена [root@srv010

]# Может пакет какой то не установил?

ldapsearch входит в пакет openldap-clients

При выполнении команды

]# ldapsearch -H ldap://192.168.50.5 -x -D «cn=own,ou=ServicesIT,ou=maximice,dc=mice,dc=local» -b ou=maximice,dc=mice,dc=local # extended LDIF # # LDAPv3 # base with scope subtree # filter: (objectclass=*) # requesting: ALL #

# search result search: 2 result: 1 Operations error text: 000004DC: LdapErr: DSID-0C090728, comment: In order to perform this ope ration a successful bind must be completed on the connection., data 0, v2580

Если добавляю команду с параметром -W

ldapsearch: option requires an argument — ‘w’ ldapsearch: unrecognized option -w

Подключение по telnet

Подключениес telnet по 389 порту проходит успешно

сорри, упустил пароль:

или можно использовать -W (upper case), чтобы пароль запрашивался.

должен быть успешный bind с указанными учетными данными.

Все получилось, связь есть

# search result search: 2 result: 0 Success

# numResponses: 374 # numEntries: 373 Куда копать дальше?

покажи конфигурацию LDAP из базы:

Запрос

Database changed MariaDB [owncloud]> select * from oc_appconfig where appid=’user_ldap’; +————+—————————————+—————————- ————————+ | appid | configkey | configvalue | +————+—————————————+—————————- ————————+ | user_ldap | NEWhas_memberof_filter_support | 0 | | user_ldap | NEWhome_folder_naming_rule | | | user_ldap | NEWlast_jpegPhoto_lookup | 0 | | user_ldap | NEWldap_agent_password | Q2xvMTAwNTUh | | user_ldap | NEWldap_attributes_for_group_search | | | user_ldap | NEWldap_attributes_for_user_search | | | user_ldap | NEWldap_backup_host | 192.168.50.28 | | user_ldap | NEWldap_backup_port | 389 | | user_ldap | NEWldap_base | ou=maximice,dc=mice,dc=loca l | | user_ldap | NEWldap_base_groups | dc=mice,dc=local | | user_ldap | NEWldap_base_users | dc=mice,dc=local | | user_ldap | NEWldap_cache_ttl | 600 | | user_ldap | NEWldap_configuration_active | 1 | | user_ldap | NEWldap_display_name | displayname | | user_ldap | NEWldap_dn | cn=own,ou=ServicesIT,ou=max imice,dc=mice,dc=local | | user_ldap | NEWldap_email_attr | | | user_ldap | NEWldap_experienced_admin | 0 | | user_ldap | NEWldap_expert_username_attr | | | user_ldap | NEWldap_expert_uuid_group_attr | | | user_ldap | NEWldap_expert_uuid_user_attr | | | user_ldap | NEWldap_group_display_name | cn | | user_ldap | NEWldap_group_filter | objectclass=group | | user_ldap | NEWldap_group_filter_mode | 1 | | user_ldap | NEWldap_group_member_assoc_attribute | uniqueMember | | user_ldap | NEWldap_groupfilter_groups | | | user_ldap | NEWldap_groupfilter_objectclass |

продолжение

user_ldap | NEWldap_host | 192.168.50.5 | | user_ldap | NEWldap_login_filter | samaccountname=%uid | | user_ldap | NEWldap_login_filter_mode | 1 | | user_ldap | NEWldap_loginfilter_attributes | | | user_ldap | NEWldap_loginfilter_email | 0 | | user_ldap | NEWldap_loginfilter_username | 0 | | user_ldap | NEWldap_nested_groups | 0 | | user_ldap | NEWldap_nocase | 0 | | user_ldap | NEWldap_override_main_server | 0 | | user_ldap | NEWldap_paging_size | 500 | | user_ldap | NEWldap_port | 389 | | user_ldap | NEWldap_quota_attr | | | user_ldap | NEWldap_quota_def | | | user_ldap | NEWldap_tls | 1 | | user_ldap | NEWldap_turn_off_cert_check | 0 | | user_ldap | NEWldap_user_filter_mode | 1 | | user_ldap | NEWldap_userfilter_groups | | | user_ldap | NEWldap_userfilter_objectclass | | | user_ldap | NEWldap_userlist_filter | objectclass=person

Источник

Owncloud ldap не работает

Для начала сделаем возможным заливать на сервер большие файлы.
Открываем

и изменяем параметры:

Тут же выставляем временную директорию для больших файлов:

Пользователь apache2 должен иметь права на запись в неё. (Значение можно оставить пустым для автоматического выбора.)

А также выставим правильный часовой пояс для верного отображения времени создания/изменения файлов:

Теперь настроим максимальный размер файлов в самом owncloud:

Естественно, этот параметр не должен превышать указанный в php.ini.

Если после этого вы всё ещё испытываете трудности при загрузке больших файлов (PHP timeout в логе), то увеличте также и эти значения:

Теперь перезагружаем apache2 и проверяем:

Если всё ОК, то настало время настроить поддержку ldap — в моём случае AD 2008.

Устанавливаем модуль поддержки ldap для php5:

Заходим в owncloud и в Приложениях активируем поддержку LDAP. (https://owncloud.company.com/index.php/settings/apps)

Теперь нужно его настроить.

(На самом деле, настройку надо начинать с 5-го скрина, поставив «нечувствительность к регистру».)

1 скрин

Так или иначе, для начала вводим данные для подключения:

2 скрин

Переходим на следующую вкладку — фильтр пользователей. Тут можно вообще ничего не выбирать.

Многие, кстати, редактируют здесь фильтр вручную, прописывая опцию «только незаблокированные пользователи» (!userAccountControl:1.2.840.113556.1.4.803:=2). Зачем это делать не вполне понятно — заблокированные пользователи (например, находящиеся в отпуске) в любом случае не смогут прилогиниться, а вот то, что другие пользователи не смогут открыть им доступ к файлам, я считаю большим минусом.

Учтите, что подстрочник («20 пользователей найдено») становится неактуальным при внесении повторных изменений в поля на этой и следующих вкладках.

3 скрин

Фильтр логинов. Здесь тоже ничего особо настраивать не нужно — просто делаем так, чтоб пользователи могли войти используя только логин, без названия домена.

4 скрин

Фильтр группы. Тут уж придётся перечислить все нужные группы.

5 скрин

Переходим на вкладку Дополнительно — Настройки подключения. Активируем конфигурацию и указываем, что наш контроллер домена нечувствителен к регистру.

6 скрин

Затем — Настройка каталога.

Заполняем первое поле — указанный здесь атрибут будет основным именем пользователя в системе — поле Полное имя на 9-м скрине. Именно так пользователи будут видеть друг друга.

Дальше настройки довольно индивидуальны. К примеру, моя доменная структура такова, что все сотрудники компании разбиты по OU, которые лежат в ou=company,dc=company,dc=com. За пределами ou=company находятся пользователи и группы непосредственного отношения к компании не имеющие, и совершенно ненужные в этом облачном сервере. Поэтому и База дерева пользователей у меня соответствующая.

С Базой дерева групп история примерно та же (вторая строка), но туда добавляется ещё одна группа cn=Пользователи домена (с кириллистичекими названиями никаких проблем нет). Сделано это для того, чтобы можно было поделиться файлом со всеми пользователями owncloud. (В сочетании с настройкой Базы дерева пользователей, пользователи вне ou=company не смогут пользоваться облаком.)

А вот скудный выбор атрибута Ассоциация Группа-Участник довольно сильно снижает гибкость настроек. (Хотя feature request расширить эту опцию был ещё для owncloud 6.)

7 скрин

Поле квоты. Можно заполнить числовым значением в байтах, а можно в читабельном виде — «5G». В Поле квоты указывается атрибут пользователя для индивидуальной квоты. (Конечно, правильнее было бы создать отдельный атрибут, но так как мне эта фича нужна была только для проверки, я воспользовался существующим атрибутом pager).

Учтите, что квота применяется только через сутки после внесения изменений в настройки LDAP. На форуме для проверки применения квоты предлагают перевести часы на на сутки вперёд.

8 скрин

Заходим на вкладку Эксперт. Тут нужно выставить вразумительный Атрибут для внутреннего имени (поле Имя пользователя на 9-м скрине), иначе (для кириллистического cn пользователя) получите совершенно нечитабельный ID.

Источник

StartTLS and LDAP connection error #27301

Comments

aniolm9 commented Mar 3, 2017 •

Steps to reproduce

1. Configure openLDAP with StartTLS.
2. Configure owncloud.
3. Connect.

Expected behaviour

ownCloud should connect to LDAP.

Actual behaviour

It seems to connect (the users can login), but if I try to edit the LDAP queries in the app configuration it says «Could not connect to LDAP».

Server configuration

Operating system: Debian Jessie

Web server: Apache2

Database: Mysql

PHP version: 5.6

ownCloud version: (see ownCloud admin page) 9.1.4

Updated from an older ownCloud or fresh install: Fresh install.

Where did you install ownCloud from: I downloaded the tar.bz2

Signing status (ownCloud 9.0 and above):

List of activated apps:

The content of config/config.php:

Are you using external storage, if yes which one: No

Are you using encryption: No

Are you using an external user-backend, if yes which one: LDAP

LDAP configuration (delete this part if not used)

Client configuration

Browser: Firefox and Chromium.

Operating system: LMDE.

ownCloud log (data/owncloud.log)

I also add the openLDAP log:

It seems a problem with StartTLS. If I disable it ownCloud works fine, but with it, just some feature work. I have also tested with admin account and the same result.

The text was updated successfully, but these errors were encountered:

ghost commented Mar 3, 2017

Is https://github.com/eduardok/libsmbclient-php installed and are you using a trusted / valid SSL/TLS certificate on the LDAP server?

aniolm9 commented Mar 3, 2017

No, this package is not installed and I can’t install it on Debian Jessie (misclick with 5.7, sorry). Although, I don’t understand why is it necessary. On the other hand, the certificates I’m quite sure that are okay. Postfix, Dovecot and Roundcube are working.
Anyway, my ldap.conf file:

I also have olcSecurity: tls=1 in olcDatabase=<1>mdb.ldif in order to force TLS. My guess is that the app doesn’t bind correctly using StartTLS, but I don’t understand why some features work and other don’t.
Thank you!

ghost commented Mar 4, 2017

Ah, sorry. Forget the libsmbclient, smb != ldap

On the other hand, the certificates I’m quite sure that are okay. Postfix, Dovecot and Roundcube are working.

In this case please try to re-check the certificates. That the other software is working doesn’t proof that as ownCloud won’t connect to a SSL/TLS server by default as long as the cert isn’t trusted / signed by any of the CAs listed in https://github.com/owncloud/core/blob/master/resources/config/ca-bundle.crt

aniolm9 commented Mar 4, 2017

The certificates are selfsigned, maybe that’s the problem. Is there some way to solve it?
Anyway, I don’t understand why it connects, but with complex LDAP Queries or when I click on Edit LDAP Query it doesn’t.
Thank you.

ghost commented Mar 4, 2017

If you’re using self-signed certificates you need to import them into ownCloud. A few pointers are given here:

aniolm9 commented Mar 4, 2017

I added the certificate with sudo -u www-data php occ security:certificates:import /etc/ssl/certs/ldap_server.pem .
Then I checked the added certs with sudo -u www-data php occ security:certificates

But I still get this error on slapd log:

aniolm9 commented Mar 17, 2017

PVince81 commented Aug 7, 2017

I’m not sure whether the OC certificates are used for LDAP connections.

jvillafanez commented Aug 8, 2017

The php bindings for ldap provide some options to use CA certificates for TLS, but those options aren’t being used by ownCloud. We might need to add support for those options at some point.

I guess the library is using the system’s certificates to connect.

StephenGrey commented Dec 7, 2017

Hi @xaldiks : did you ever solve this one? Does anyone have compulsory TLS working w/ Owncloud-LDAP?

aniolm9 commented Dec 7, 2017

@StephenGrey I couldn’t manage to solve it, but I tried the last version of NextCloud and it worked fine.

ownclouders commented Jan 15, 2018

Hey, this issue has been closed because the label status/STALE is set and there were no updates for 7 days. Feel free to reopen this issue if you deem it appropriate.

Источник