LDAP: zusäzliche DB zur Suche funktioniert nicht

[scifi]

Hallo @all,

ich möchte gern für diverse LDAP-Zugriffe (Telefonanlage und Multifunktionsdrucker) ein zusätzliches Adressbuch via Domino und Directory Assistance bereit stellen.
Was habe ich bisher getan (ausser natürlich die Admin-Hilfe und die Forumssuche ausgiebig zu bemühen  :
LDAP-Task/Profil und Zugriff auf das normale Domino-Directory eingerichtet. Dies funktioniert auch wie gewünscht.
Dann habe ich eine DA-Datenbank (da.nsf mit zugehöriger Schablone) erstellt, sowie ein neues Verzeichnis mit der DD-Schablone. Das Directory-Profile darin wurde ebenfalls entsprechend gefüllt und diese Informationen in der DA-Datenbank aufgenommen und dann im Serverdokument die da.nsf entsprechend eingetragen. Durchsuchbar soll das zusätzliche Adressbuch nur per LDAP, nicht für Notes sein.
Leider bekomme ich bei einer LDAP-Abfrage weder von den Multifunktionsgeräten noch mit Hilfe Softerra LDAP-Browser einen Eintrag aus dem zusätzlichen Adressbuch zurückgeliefert.
der Domino-Server sagt aber beim Abfragen des DA-Status:

Show Xdir
   DomainName      DirectoryType         ClientProtocol   Replica/LDAP Server
   --------------- --------------------- -------------- -----------------------
 1 XYZ                Primary-Notes            Notes & LDAP   names.nsf
 2 EXTERN          Secondary-Notes       LDAP                2ndDirec.nsf
Directory Assistance Database 'DA.nsf' in use

(Domino-Server Rel. 8.5.1 FP2)

Woran könnte es liegen, dass die Einträge aus dem zusätzlichen Verzeichnis nicht zurückgeliefert werden?

Danke für jeden Tipp

Gruß
Sebastian

[DunkelHut]

Hallo Sebastian,

Nach meiner Auffassung muss man doch nix erfinden was bereits vorhanden ist, ergo würde ich mit dem arbeiten was schon da ist. Da LDAP ein Verzeichnisdienst ist, dem ja auch u.a. auch das ActiveDirectory zu Grunde liegt, musst Du meines wissens nach da nix neu kreieren sondern einfach an der Stelle in dem Verzeichnis einsteigen wo es für diese von Dir beschriebenen Geräte auch Sinn macht.

So weit ich mich erinnere ist die Strukturtiefe bei Domino eh auf 4 Stufen begrenzt, während dessen Du im ActiveDirectory Du jede Form von Unternehmensstruktur so abbilden kannst wie sie sich tatsächlich real strukturell ergibt. Bei einer einfachen Struktur liegen die User eh in einem Verzeichnis, ergo wäre der Zugriff auf diesen Teil der Verzeichnisstruktur dann schon mal einfach geregelt. Bei einer weiteren Struktur springst Du dann eben an oberster Instanz mit Deiner Abfrage rein. So wie ich Dich lese willst Du ja einfach nur spezielle Userinformationen auslesen.

Bei einer externen Struktur kommst Du da auf den Geräten um einen Verweis auf ein zweites oder drittes Adressbuch wohl nicht drum herum oder Du fügst die externen Einträge eurem Adressbuch einfach hinzu.

LDAP ist ja Verzeichnisstruktur, da also eine manuelle Struktur von LDAP Datenbanken händisch zu betreiben macht da aus meiner Sicht irgendwie keinen Sinn.

Ein gutes Werkzeug zum testen von LDAP findest Du im "LDAP Browser/Editor version 2.8.2 by Jarek Gawor"

Mit dem testen, offenbaren sich einem dann auch die Möglichkeiten. Denn Du simulierst ja auf diesem Wege den Zugriff der von Dir beschriebenen Geräte.

Ich setze dieses Tool zum testen des Zugriffs via LDAP auf Domino als auch Active Directory ein.

Gruß
Stefan

[stoeps]

Hast du die Benutzer im 2. Adressbuch hierarisch angelegt?

Wenn ja, passt die Suchbasis bei deinem Ldap-client?

@Stefan: du kennst Directory Assistance? Ich hab noch nie so simpel Adressdaten Ldapfaehig gemacht, wie mt ner Da. Da Ad zu empfehlen halte ich fuer Kanonen auf Spatzen schiessen!
Das hat nichts mit neu erfinden zu tun. Mehr als 4 Verschachtelungsebenen reichen dir nicht? Fuer eine Unternehmensstruktur stimm ich da evtl zu, aber als Mail- und Benutzerverzeichnis fuer einen Drucker/Kopierer?
 

[DunkelHut]

Hallo Christoph,

@Stefan: du kennst Directory Assistance? Ich hab noch nie so simpel Adressdaten Ldapfaehig gemacht, wie mt ner Da. Da Ad zu empfehlen halte ich fuer Kanonen auf Spatzen schiessen!

Nein, ich habe bislang mit der "Directory Assistance" von Domino noch nicht gearbeitet.
Offen gesagt hast Du mich jetzt da erst wirklich drauf aufmerksam gemacht.

Das hat nichts mit neu erfinden zu tun. Mehr als 4 Verschachtelungsebenen reichen dir nicht? Fuer eine Unternehmensstruktur stimm ich da evtl zu, aber als Mail- und Benutzerverzeichnis fuer einen Drucker/Kopierer?

Das worauf ich darauf hinweisen wollte ist, das man manche Baustellen einfach vermeiden kann, wenn man erst mal nachschaut was man hat.
Ich sehe das so, in der Regel ist das Active Directory ja vorhanden, wobei ich hier unterstelle das Sebastian mit Windows Maschinen arbeitet.
Es gibt Admins die vercrypten alles um sich unabdingbar zu machen und andere handeln im Interesse der Firma und machen Firmenstrukturen entsprechend transparent, eben um die Verwaltung mit Richtlinien etc. entsprechend zu vereinfachen. Drucker und Kopierer sind da sicherlich eine Untermenge, aber so wie ich Sebastian verstanden habe will er von diesen Geräten aus auf entsprechende Einträge drauf zugreifen. Da man mit  Lotus Domino unter Windows wenigstens zwei unvermeidbare LDAP Quellen zu Verfügung hat, muss man sich ja erst einmal dazu entscheiden welche Quelle man sinnvoller Weise nutzt. Wenn man ein gut gepflegtes ActiveDirectory hat, dann muss man den Kram doch nicht noch einmal neu kreieren... Die beiden Welten zu verbandeln, nun ja da hebt man auch wieder neue Probleme aus der Taufe. (Korrigiere mich wenn ich da schief liege). Seit dem ich IT mache, und das sind inzwischen 16 Jahre, ist es mir noch nicht gelungen in einem Unternehmen durchgängig für alles, über eine zentrale Userdatenbank zuzugreifen. Es ergaben sich minimal wenigstens zwei konkurierende Systeme und ich hatte immer eine Passworliste zu verwahren, obwohl ich mich immer dagegen gewehrt habe. Ich habe auch mal ein paar Jahre bei in den USA eine Firma betreut, das was dort an Strukturen, Logik und Sicherheit bis dahin gepflegt wurde, war einfach mal der gespielte Witz an sich, ergo wie in vielen Firmen der Wildwuchs an sich, bzw. brachliegende, ungenutzte Möglichkeiten.

Wenn also diese Informationen schon vorliegen sollten, kann man sich doch jeden weiteren Schritt ersparen.
Lieber eine aktuelle Datenbank als mehrere Datenbanken mit abweichenden Inhalten.

Wenn "Directory Assistance" von Domino da einen Zugriff auf den Inhalt des ActiveDirectory ermöglichen könnte wäre das natürlich dann der Brecher....

[EDIT]
...man kann 

Gruß
Stefan

[scifi]

Hallo Christoph,

weia! ... was ein böser Anfängerfehler ...
Ich wag es mir fast gar nicht zu schreiben ... aber es fehlte lediglich die hierarchische Einordnung  ... ohne die LDAP eben nun mal nich viel tut.
Einträge im zweiten Adressbuch "heirarchisiert" ... und schon funktionierts auch mit'm Zugriff. Manchmal sieht man den Wald vor lauter Bäumen nicht...

Danke dafür! 

@Stefan:
es geht mir eher um die Bereitstellung von Adressen (Fax, e-mail) von nicht zu unserem Unternehmen gehörenden Kontakten (unser eigenes Domino-Directory ging ja via LDAP eh schon zu durchsuchen...).
Da man ja als Admin doch eher zum Faulsein neigt und ich keine Lust hatte auf jedem Multifunktionsdrucker eine individuelle Fax-Wahl-Liste zu pflegen (oder das die User machen zu lassen, die mich dann nerven, wenn es nicht geht ...) habe ich eben nach einer praktikablen und einfach zu implementierenden Variante gesucht, bereits vorhandene Adressen in die Suche einbeziehen zu können. Jetzt brauchts nur noch einen kleinen Agenten, der das 2. Adressbuch mit den Daten aus diversen Notes-DBs" vollpumpt" und dann passt das.

Dafür geht - da gebe ich Christoph recht - LDAP mit DA echt easy und schnell.

Danke also noch mal!!


Sebastian

[m3]

Nicht ärgern! Wer über so einen Fehler nicht selber mal gestolpert ist, möge den ersten Stein schmeißen.

[scifi]

@Martin

ärgern eher nicht so, hatte den Konfig-Teil ja soweit schon stehen ... ist eben ein eher peinlicher Flüchtigkeitsfehler :-)
Aber so merkt man sich's dann auch.

Ein Grund mehr, warum ich dieses Forum mit dem hier angesammelten Wissensschatz nicht missen möchte!

Sebastian