phpBB.de

Hallo zusammen,

ich verwende die LDAP-Authentifizierung für ein Intranet (Active Directory als Quelle). Leider können sich nun alle User, die ein entsprechendes Konto haben, bei uns anmelden. Zudem würde ich die User gerne selber anlegen. (Passwort muss leer gelassen werden, sonst klappt die Anmeldung nacher nicht)

Wie könnten wir dies am besten realisieren?



Danke !

Verstehe ich das richtig, dass du zusätzlich auch Benutzern die Anmeldung erlauben willst die nicht via LDAP authentifiziert werden(können) ??
Ich habe zwar selbst noch nicht das LDAP als AUTH-Schnittstelle verwendet, vermute jetzt aber einfach mal, dass das nicht so einfach gehen wird. Es gitb ja im ACP keine "Mischform" der verschiedenen "AUTH-Modelle".

Wieso brauchst du denn noch weitere User, die nicht im AD stehen??
Evtl. kannst du ja deinen Admin(den vom ActiveDirectory) bitten eine quasi "rechtelose" Gruppe zu erstellen(dort dann die gewünschten "Zusatz-User" reinpacken), die keine Rechte im MS-Netz haben, dann aber trotzdem via LDAP authentifiziert werden könnten um aufs Forum zuzugreifen ?

Nur so 'ne Idee
Manne.

Hallo,

vielen Dank für die Hilfe - aber vollkommen falsch verstanden

Ich möchte folgendes:

- LDAP-Authentifizierung am Active Directory (funktioniert);
- nur bestimmte User des AD sollen sich im Forum anmelden können.

Außerdem würde ich gerne die User manuell "voranlegen", damit ich die Gruppen etc. schon zuweisen kann. Manuelle Registrierung benötige ich aber nicht.

Danke

IPhonio hat geschrieben:vielen Dank für die Hilfe - aber vollkommen falsch verstanden

Jetzt sehe ich schon klarer
Tja leider habe ich keine Erfahrung mit dem LDAP-Modul, wage mich aber trotzdem mal ins unbekannte Terrain vor. Wer weiss ob meine Ideen trotzdem was taugen

Außerdem würde ich gerne die User manuell "voranlegen", damit ich die Gruppen etc. schon zuweisen kann.(Passwort muss leer gelassen werden, sonst klappt die Anmeldung nacher nicht)

Wie wäre es, wenn du vorübergehend die Registrierung auf "db" zurücksetzt, dann die gewünschten User anlegst(mit irgendeinem PW), und dann wieder auf LDAP als AUTH-Methode zurücksetzt. Wenn ich dich jetzt richtig verstanden habe, müssen dann aber die PWs leer sein, damit die Anmeldugn via LDAP klappt?
Dann könntest du IMHO einfach alle PWs in der user-tabelle mittels einem geeigneten Tool(z.B.: KB:phpmyadmin)löschen.
ACHTUNG Bitte vorher auf jeden Fall ein Backup der DB erstellen !!!

NACHTRAG: Mir kam da grade noch so ein Gedanke ...
Ist es denn nicht evtl. so, dass man gleichnamige Gruppen wie im AD anlegen kann, denen dann die User, die im AD zu einer solchen gehören, automatisch zugeordnet werden ?? (Wahrscheinlich wohl nicht, weil die Userobjekte im AD ja hinter den Kulissen nicht wirklich über die Namen sondern über IDs identifiziert werden.) Aber probieren geht ja über studieren

- nur bestimmte User des AD sollen sich im Forum anmelden können.

Hmmm, auch da muss ich eigentlich passen ... ABER mit welchen "Default"-Gruppen, interpretiert denn phpBB3 die LDAP-User?
Ich nehme jetzt einfach mal an, dass die zur Gruppe "Registrierte Benutzer" gehören?!
Dann könntest du doch einfach dieser Gruppe fast alle Rechte entziehen, ausser z.B. dem Leserecht für ein spezielles Forum, wo sie in einer Ankündigung darauf hingewiesen werden, dass sie keinen Zugang zum Board haben.

Alle "gewollten" LDAP-User steckst du dann in spezielle Gruppen, die dann eben den gewünschten Zugang zum Board haben?!

Wie gesagt ... nur so meine Ideen, wer weiss ob's hilft
Manne.

Hallo und vielen Dank für die Mühe! Wir schreiben von der selben Sache, das ist schonmal wichtig

Fangen wir bei den Rechten an: LDAP-User fallen automatisch auf die "Registr. Benutzer" - doch wie kann ich diese Gruppe soweit entrechten, dass nix mehr geht? Forenrechte entziehen meinst Du?

Bei der LDAP-Sache hast Du Recht. Aber: anmelden kann sich trotzdem noch jeder User !

Kennst Du oder jemand sich mit Filtern aus?

IPhonio hat geschrieben:Kennst Du oder jemand sich mit Filtern aus?

Existiert das Problem denn noch? Oder wurde es mittlerweile gelöst?

Falls nicht:
Ich benutze auch LDAP und die einzige Idee die ich in diesem Fall hätte wäre folgende:
Man muss ja unter LDAP Benutzer dn den ganz genauen Pfad angeben der mir sagt wo die Benutzernamen liegen. Wie wäre es also wenn du in deiner eigentliche Datenbank nen Ordner oder so anlegst in den du die Benutzer reinkopieren kannst, die auf das Forum zugreifen sollen und danach demenstprechend den Pfad für die LDAP-Authentifizierung änderst?
Bei mir kann ich je nach Pfad zwischen verschiedenen Benutzergruppen hin- und herschalten.