Lotus Connections 3 - Problem mit Login in Profiles-DB

[MaVo]

Hallo @all

Nach Installation und Konfiguration von Connections 3.0.1 schlug jeder Versuch mit einem LDAP-Benutzer sich an Connections anzumelden fehl.
Die Anbindung an Domino LDAP funktioniert, da im ICS nach LDAP-Benutzern gesucht und diesen administrative Rollen zugewiesen werden können. Obwohl die Personen in der PEOPLEDB importieren wurden (das Log wies bis auf 2 nicht importierte Personen keine Fehler auf) und die Authentifizierung über die Profiles-Datenbank als Userverzeichnis verwendet wird (profiles_directory_service_extension_enabled="true") erscheint folgende Fehlermeldung bei der Anmeldung an der Connections-Applikation Homepage:

CLFRQ0415E: Beim Ausführen dieser Aktion ist ein Fehler aufgetreten. Weitere Details finden Sie in der verschachtelten Ausnahme.
                                 com.ibm.lconn.homepage.web.WebException: CLFRQ0341E: Die Details zum Benutzer mit der Anmelde-ID <Benutzername> konnten aufgrund einer Ausnahmebedingung nicht abgerufen werden. Die Ausnahmebedingung trat beim Abrufen der Details über die Verzeichnisserviceerweiterung der Komponente "Profile" auf: [Ljava.lang.Object;@525f525f


Caused by: com.ibm.lconn.homepage.services.ServiceException: CLFRQ0335W: Der Benutzer mit dem Anmeldenamen [Benutzername] wurde im Verzeichnisservice nicht gefunden. Dieser Benutzer ist möglicherweise nicht mehr vorhanden.

Wenn bei der Anmeldung ein falsches Passwort eingegeben wurde, quitierte dies Connections mit der passenden Fehlermeldung "Ihr Benutzername und/oder Ihr Kennwort stimmen mit keinem vorhandenen Konto überein. Versuchen Sie es erneut."
Dies lässt zumindest den Schluss zu, dass Connections die Benutzer kennen muss.

Nach Änderung der Authentifizierung über LDAP als Userverzeichnis (profiles_directory_service_extension_enabled="false") funktionieren die Anmeldungen auf alle Applikationen ausgenommen Profiles.

Es scheint, dass die Informationen in der PEOPLEDB nicht korrekt oder vollständig sind.

Kennt jemand von Euch dieses Problem und weiß die Lösung?

[blizzard]

Die User sind auf die Profile Applikation auch gemapped in der ISC?
Sind in der PeopleDB die Personen auch gelistet? Was für ne LDAP Query nutzt du bei Domino LDAP?

[stoeps]

Schau dir mal die map_dbrepos_from_source im tdisol Verzeichnis an,  ich denke da sind zuwenige Infos beim Populate übertragen worden.

Welches LDAP? Tdi schon mal ausserhalb des Populate gestartet?

[MaVo]

Danke Matthias und Christoph für Eure Antworten.

Die User sind auf die Profile Applikation auch gemapped in der ISC?

Müssen den Rollen "Person" und "AllAuthenticated" auch dann User zugeordnet werden, wenn das Zugriffsrecht auf "All Authenticated in Application's Realm (Alle Authentifizierten im Realm der Anwendung )" gesetzt ist?
Ich habe mir die Admin Rolle für die Profile Applikation gegeben und kann mich nicht dort anmelden.
Wie geschrieben kann ich alle Applikationen ausgenommen Profile als angemeldeter Benutzer öffnen. Die Suche nach Personen in der Profile-DB funktioniert und liefert Ergebnisse. Die gefundenen Profile können ohne Probleme geöffnet werden.

UPDATE: Wenn ich versuche mein Profile zu öffnen, erhalte ich die Fehlermeldung "Das hat leider nicht funktioniert"  mit Vollständiger Fehlermeldung "AssertionException" im Browser.

Sind in der PeopleDB die Personen auch gelistet?

ja, die Personen sind in der PeopleDB in der Tabelle Employee gelistet

Was für ne LDAP Query nutzt du bei Domino LDAP?

Im Federated Repository habe ich für "Distinguished name of a base entry that uniquely identifies this set of entries in the realm " und "Distinguished name of a base entry in this repository" die Domino Organisation eingegeben. -> o=<Domino Organisation>

Oder meinst Du eine andere Stelle der Connections-Konfiguration?

Schau dir mal die map_dbrepos_from_source im tdisol Verzeichnis an,  ich denke da sind zuwenige Infos beim Populate übertragen worden.

Mit Deiner Vermutung könntest Du richtig liegen. Ich habe mir mal einige Tabellen der PEOPLEDB angeschaut und dabei gesehen, dass die PROFILE_LOGIN Tabelle komplett leer ist.

Oder enthält diese Tabelle nur die angemeldeten Benutzer?

Im TDISOL Verzeichnis unter LotusConnections befindet sich nur eine gezippte TDISOL Datei in der sich u.a. die Datei befindet.

Die map_dbrepos_from_source Datei vom Connections Setup enthält folgende Mappings:

Code

alternateLastname=null
bldgId=null
blogUrl=null
calendarUrl=null
countryCode=c
courtesyTitle=null
deptNumber=null
description=description
displayName=cn
distinguishedName=$dn
email=mail
employeeNumber=employeenumber
employeeTypeCode=employeetype
experience=null
faxNumber=facsimiletelephonenumber
floor=null
freeBusyUrl=null
givenName=givenName
givenNames=givenName
groupwareEmail=null
guid={function_map_from_dominoUNID}
ipTelephoneNumber=null
isManage=null
jobResp=null
loginId={function_map_from_dominoUNID}
logins=null
managerUid=$manager_uid
mobileNumber=mobile
nativeFirstName=null
nativeLastName=null
officeName=physicaldeliveryofficename
orgId=ou
pagerId=null
pagerNumber=null
pagerServiceProvider=null
pagerType=null
preferredFirstName=null
preferredLanguage=preferredlanguage
preferredLastName=null
secretaryUid=$secretary_uid
shift=null
surname=sn
surnames=sn
telephoneNumber=telephonenumber
timezone=null
title=null
uid={function_map_from_dominoUNID}
workLocationCode=postallocation

Welches LDAP?

Domino 8.5.1 LDAP

Tdi schon mal ausserhalb des Populate gestartet?

bisher noch nicht. Werde als nächstes versuchen.

[blizzard]

Die log Files vom websphere wären ganz interessant... nachdem du den Fehler provoziert hast, sollte auf jeden Fall etwas genaueres in der "out" Datei stehen.

Beim populate via wizard, hast du da das ldap query geändert oder so gelassen?

[stoeps]

guid={function_map_from_dominoUNID}

ist nicht default, denke aber nicht, dass das ein Problem darstellt.

Profile_Login ist meiner Ansicht nach immer leer, wenn man sich noch nicht angemeldet hat. Der TDI bzw. Populate arbeitet nur mit der EMPLOYEE.

Aber da muss man wohl die Logs genauer anschauen.

[MaVo]

Sorry, für die späte Antwort.

Die log Files vom websphere wären ganz interessant... nachdem du den Fehler provoziert hast, sollte auf jeden Fall etwas genaueres in der "out" Datei stehen.

Hier die Fehlermeldungen im Log beim Zugriff auf "Mein Profil".

--- schnipp ---
[18.01.12 10:11:48:282 CET] 000000ad BaseAction    E com.ibm.lconn.profiles.web.actions.BaseAction execute null
                                 com.ibm.lconn.profiles.internal.exception.AssertionException
:
:
:
[18.01.12 10:11:48:345 CET] 000000ad CustomExcepti E com.ibm.peoplepages.exception.CustomExceptionHandler execute null
                                 com.ibm.lconn.profiles.internal.exception.AssertionException
--- schnapp ---

Beim populate via wizard, hast du da das ldap query geändert oder so gelassen?

LDAP Benutzersuchbasis eingetragen: -> o=<Domino Organisation>
LDAP Benutzersuchfilter belassen: -> (&(uid=*)(objectclass=inetOrgPerson))

guid={function_map_from_dominoUNID}

ist nicht default, denke aber nicht, dass das ein Problem darstellt.

dieses Mapping wird bei Verwendung von Domino LDAP laut Doku für guid, ui und loginID vorgeschrieben.

Profile_Login ist meiner Ansicht nach immer leer, wenn man sich noch nicht angemeldet hat. Der TDI bzw. Populate arbeitet nur mit der EMPLOYEE.

Danke für diese Info.

[blizzard]

mhh keine Ahnung, mach lieber mal nen PMR auf.

[MaVo]

Danke Matthias für Deine Antwort.

Dann werd ich am Montag den Support mal befragen.