suy478
Hallo,
meine Umgebung: Firmen-AD ausserhalb meiner Einflusssphäre, 2008R2, Dokuwiki-2017-02-19e „Frusterick Manners“ unter Apache 2.4 auf SLES12 SP2, aktives Auth-Modul authad.
Die Anbindung an die AD funktioniert sofort; allerdings habe ich auf Bitte der Win-Server-Betreiber den Port auf 636 (ldaps) geändert ($conf['plugin']['authad']['ad_port'] = 636;), was in unserer Umgebung nur zusammen mit der Einstellung "use_ssl=1" funktioniert.
Mein Problem: durch die Anbindung können sich alle Mitarbeiter, die der AD bekannt sind (ca. 4000) einloggen. Die Anbindung an eine Gruppe der AD ist mir bisher nicht gelungen - mir ist nicht klar, was ich dafür wo eintragen muss. Leider ist die Beschreibung des authad sehr vage, da wird eine Variable REMOTE_USER erwähnt, ohne die es nicht funktioniere, aber kein Hinweis, wo die mit welchem Inhalt wie gesetzt werden soll.
Gerne hätte ich statt einer AD-Gruppe einfach eine (überschaubare) Liste der berechtigten Accounts. Im Prinzip also AuthPlain, aber Passworte aus der AD.
Für den Administrator kann man innerhalb des normalen Konfigurationsmenus eine Gruppe oder einen Account oder eine komma-separierte Liste von Gruppen und/oder Accounts angeben; warum gibt es diese Möglichkeit nicht für die normalen non-Admin-Benutzer?
Für den/die Manager fehlt dieser Punkt ebenfalls.
Wie kann ich den Kreis der Berechtigten auf die Mitglieder des Arbeitsteams (unter 10) begrenzen?
Ich hatte an eine Art Liste oder lokale Unix-Gruppe gedacht, wobei die eigentliche Authentifizierung durch die AD geschehen soll, damit wir hier keine lokalen Passworte pflegen (und uns merken) müssen.
Danke.
moz
Vielleicht habe ich dein Problem noch nicht verstanden, aber ich verwende einfach die AD-Gruppen.
Wenn du also nur bestimmte User haben willst, richtest du im AD dafür eine Sicherheitsgruppe ein und gibts dieser Gruppe rechte im Wiki. Fertig