Das Notes Forum

Domino 9 und frühere Versionen => ND7: Administration & Userprobleme => Thema gestartet von: schroederk am 27.05.08 - 14:06:02

Titel: Frage zu LDAP Abfragen
Beitrag von: schroederk am 27.05.08 - 14:06:02
Hallo,

ich habe zwei Fragen / Problemchen:

Sobald ich ein Internet-Site-Dokument für den LDAP-Zugriff erstellt hatte, war der Zugriff über LDAP erlaubt. (Der LDAP task lief schon).
Von vorneherein konnte ich, ohne spezielle Einstellung, auf das globale Adressbuch des Servers zugreifen.

Frage1: Woher weiß der Server, dass ich die names.nsf wollte? Kann ich auch weitere Abfragen über LDAP gegen weitere Adressbücher einrichten?

Frage2: Wenn ich mich über einen LDAP-Browser ohne angegebene Basis-DN anmelde, erhalte ich auf der linken Seite die Liste aller im Adressbuch eingetragenen Gruppen. Wenn ich nun als Basis CN=Firma-Gesamt eingebe, erhalte ich allerdings nur einen Eintrag, der auf der rechten Seite allerdings alle in der Gruppe enthaltenen Personen anzeigt. Wie kann ich erreichen, dass ich die Liste aller Personen auf der linken Seite erhalte?
Das Programm, was letztlich die Daten per LDAP abfragen soll, erkennt daher nur einen Satz als Ergebnis, mit dem es aber nichts anzufangen weiß.

Ich hoffe, ich hab mich nicht allzu unverständlich ausgedrückt....


Titel: Re: Frage zu LDAP Abfragen
Beitrag von: eknori am 27.05.08 - 14:15:20
Zitat
Kann ich auch weitere Abfragen über LDAP gegen weitere Adressbücher einrichten?
Bei laufender Directory Assistance, Ja.
Titel: Re: Frage zu LDAP Abfragen
Beitrag von: schroederk am 27.05.08 - 14:29:19
Directory Addistance läuft ja bereits, aber ich sehe auch dort nicht, wie ich eine weitere Notes-DB anbinden könnte. Lediglich andere Server kann ich angeben (z.B. für ein Novell eDirectory einzubinden)
Titel: Re: Frage zu LDAP Abfragen
Beitrag von: eknori am 27.05.08 - 14:35:16
"Make This Domain available for ... "
Titel: Re: Frage zu LDAP Abfragen
Beitrag von: schroederk am 27.05.08 - 14:42:28
Auf die Gefahr hin, dass wir aneinander vorbeireden...

Auf einem Notes-Server befindet sich die names.nsf (logischerweise), aber auch zwei weitere manuell angelegte Datenbanken, die als Abteilungs-Adressbücher genutzt werden: partner.nsf und haendler.nsf

Mit "Make this domain available..." erreiche ich ja sicherlich nicht, dass der Server plötzlich weiß, dass auch die Personen, die sich in den beiden anderen DBs befinden, über LDAP abgefragt werden können.

Titel: Re: Frage zu LDAP Abfragen
Beitrag von: eknori am 27.05.08 - 14:46:04
Zitat
erreiche ich ja sicherlich nicht, dass der Server plötzlich weiß, dass auch die Personen, die sich in den beiden anderen DBs befinden, über LDAP abgefragt werden können.
ähh ... doch ...

Also, der Domino stellt demnach insgesamt 3 Adressbücher zur Verfügung. Ein LDAP Client ( Softerra LDAP Brauser z.B. ) greift auf den Domino über Port 389 zu. Wenn in der DA die zusätzlichen Adressbücher als "verfügbar für LDAP Clients" eingetragen sind, dann werden die auch im Client abgebildet.
Titel: Re: Frage zu LDAP Abfragen
Beitrag von: schroederk am 27.05.08 - 15:03:20
Ich glaube es nun auch gefunden zu haben.
Ich lege einen weitere DA-Eintrag an und gebe unter Replicas den Servername und den Domino Directory Filename an. Richtig?

Kann es sein, dass sich die Beschränkung auf 3 Datenbanken lediglich auf LDAP-Abfragen bezieht?
In der Liste der DAs habe ich nämlich breits 4 aktive Einträge, wovon aber bisher zwei auch für LDAP freigegeben ist.


Titel: Re: Frage zu LDAP Abfragen
Beitrag von: eknori am 27.05.08 - 15:08:49
Zitat
Ich lege einen weitere DA-Eintrag an und gebe unter Replicas den Servername und den Domino Directory Filename an. Richtig?
Richtig, oder du kpierst die Datenbank als Link in das dafür vorgesehene Feld.

Zitat
Kann es sein, dass sich die Beschränkung auf 3 Datenbanken lediglich auf LDAP-Abfragen bezieht?
Du meinst, ob man nur 3 weiter DD als "verfügbar für LDAP ... " eintragen kann? Upps, eine Beschränkung ist mir dafür nicht bekannt.
Titel: Re: Frage zu LDAP Abfragen
Beitrag von: eknori am 27.05.08 - 15:11:32
Zitat
In der Liste der DAs habe ich nämlich breits 4 aktive Einträge, wovon aber bisher zwei auch für LDAP freigegeben ist.

Bevor wir aneinander vorbeireden: Hänge mal bitte einen screenshot deiner Konfiguration hier rein
Titel: Re: Frage zu LDAP Abfragen
Beitrag von: schroederk am 27.05.08 - 15:26:49
Hier der Screenshot von der Übersicht und eines Eintrags.
(Sorry, dass ich die Servernamen unkenntlich gemacht habe)

Bliebe meinerseits nur noch die Frage, wie ich die LDAP-Abfrage (über den Softerra Browser)
so gestalten kann, dass ich die Personen alle auf der linken Seite zu sehen bekomme.

Titel: Re: Frage zu LDAP Abfragen
Beitrag von: eknori am 27.05.08 - 15:35:50
Zitat
Hier der Screenshot von der Übersicht und eines Eintrags.
Das sieht doch gut aus ...

Zitat
(Sorry, dass ich die Servernamen unkenntlich gemacht habe)
Vollkommen OK, ich vergesse das leider zu oft ...
Zitat
Bliebe meinerseits nur noch die Frage, wie ich die LDAP-Abfrage (über den Softerra Browser)
so gestalten kann, dass ich die Personen alle auf der linken Seite zu sehen bekomme.
Bei mir reichte ein C=de als BaseDN. oder di setzt einen filter auf (objectclass=Person)

Was willst du denn eigentlich erreichen? Bestimmt nicht, dir die Namen im LDAP Client anzusehen.

Titel: Re: Frage zu LDAP Abfragen
Beitrag von: m3 am 27.05.08 - 15:36:15
Hast Du die Naming-Rules alle aktiviert?
Titel: Re: Frage zu LDAP Abfragen
Beitrag von: schroederk am 27.05.08 - 15:45:11
Zitat von: eknori am 27.05.08 - 15:35:50
Was willst du denn eigentlich erreichen? Bestimmt nicht, dir die Namen im LDAP Client anzusehen.

Hintergrund ist eine VOIP-Anlage die schlicht den Namen zur Nummer anzeigen soll, wenn gefunden.
Hierfür können serverseitig Datenbanken eingelesen werden. Notes-DBs nur über LDAP.
Da wir in unserem globalen Addresbuch nur die Mitarbeiter haben, eine Vielzahl weiterer Kontaktdaten in den beiden anderen
Adressbüchern, bot es sich an, diese auch zu integrieren.

Ein C=de wirft mir nur ein "No such object" zurück. Wenn ich nichts angebe, erhalte ich alle Gruppen, wenn ich CN=Gruppe angebe, nur einen Eintrag.
Als ObjectClass hab ich zwar auch schon Person angegeben, ändert aber nichts am Suchergebnis.

Zitat von: m3 am 27.05.08 - 15:36:15
Hast Du die Naming-Rules alle aktiviert?
Wenn Du damit das Mapping meinst, sprich "welches LDAP-Feld entspricht welchen Notes-Feld" dann lautet die Antwort Ja.



Titel: Re: Frage zu LDAP Abfragen
Beitrag von: eknori am 27.05.08 - 15:52:36
Zitat
Wenn Du damit das Mapping meinst, sprich "welches LDAP-Feld entspricht welchen Notes-Feld" dann lautet die Antwort Ja.

Nee, meint Martin nicht. Im 2. Reiter im DA Dokument kannst du das konfigurieren.
Titel: Re: Frage zu LDAP Abfragen
Beitrag von: m3 am 27.05.08 - 15:53:40
Zitat von: schroederk am 27.05.08 - 15:45:11
Zitat von: m3 am 27.05.08 - 15:36:15
Hast Du die Naming-Rules alle aktiviert?
Wenn Du damit das Mapping meinst, sprich "welches LDAP-Feld entspricht welchen Notes-Feld" dann lautet die Antwort Ja.
  Nope. Wie Ulrich schon ausführte, meine ich das da:
Titel: Re: Frage zu LDAP Abfragen
Beitrag von: schroederk am 27.05.08 - 15:59:58
Ist die Einstellung OK?

Titel: Re: Frage zu LDAP Abfragen
Beitrag von: eknori am 27.05.08 - 16:07:50
Wenn du ALLE Einträge aus den Verzeichnissen haben möchtest, Ja. Das möchtest du aber nicht.

Also musst du ( zumindest ) die OU= im DA Dokument eintragen. Kommt halt drauf an, wie hierarchisch das bei euch aufgebau ist.

und mit deiner Abfrage nach CN=gruppenname ist klar, daß du nur einen Eintrag bekommst. Den der Gruppe ; aber das löst nicht automatisch die Mitglieder der Gruppe auf. Da hast du einen Gedankenfehler.
Titel: Re: Frage zu LDAP Abfragen
Beitrag von: eknori am 27.05.08 - 16:45:57
Zitat
Da wir in unserem globalen Addresbuch nur die Mitarbeiter haben, eine Vielzahl weiterer Kontaktdaten in den beiden anderen
Adressbüchern, bot es sich an, diese auch zu integrieren.

Habe das alles noch mal durchgelesen. Das kling für mich jetzt so , daß du versuchst, die Informationen der 3 Datenquellen per LDAP zusammenzuführen ...

also DD1: Name Ulrich Krause

DD2: da steht dann die Telefonnummer zu Ulrich Krause drin
DD3: hier steht die Firma zu Ulrich Krause

Anzeigen willst du dann im LDAP Client

CN=Ulrich Krause
Phone=0815
CompanyName=Hans-Wurst-Anstalten-for-Inpingement-Syndroms

Oder sehe ich das jetzt komplett falsch ?
Titel: Re: Frage zu LDAP Abfragen
Beitrag von: schroederk am 27.05.08 - 17:05:54
Zitat von: eknori am 27.05.08 - 16:45:57
Oder sehe ich das jetzt komplett falsch ?

Da haben wir uns missverstanden.

In der DD1 steht Personen drin, unsere eigenen Mitarbeiter
In der DD2 stehen eben so Personen drin, aber keine die in DD1 stehen: unsere externen Partner
In der DD3 stehen wieder Personen drin, aber keine die in DD1 oder DD2 stehen: unsere externen Händler.

Derzeit versuche ich lediglich eine einzige Datenquelle per LDAP abzufragen, nämlich die names.nsf.
Wenn ich zuviel erhalten sollte, ist das auch kein Problem.
Titel: Re: Frage zu LDAP Abfragen
Beitrag von: schroederk am 28.05.08 - 10:48:25
Was mich nachwievor etwas stutzig macht, ist die Tatsache, dass ich in den einschägigen Handbüchern und auch im Internet immer Anleitungen finde, die im Konfigurationsdokument für "alle Server" haben wollen und die im Konfigurationsdokument selber einen Tab namens 'LDAP' besitzen.

Ich hab weder das eine noch das andere.

Im Administrator unter Konfiguration / Server / Konfigurationen wird nur der aktive Server aufgelistet.
Un in der Konfiguration dessen befindet sich kein Tab 'LDAP'.
Im Serverdokument findet sich lediglich unter Anschlüsse  / Internet-Anschlüsse der Tab 'Verzeichnis', unter dem der Port 389 aktiviert ist.

Titel: Re: Frage zu LDAP Abfragen
Beitrag von: eknori am 28.05.08 - 11:14:12
Zitat
Was mich nachwievor etwas stutzig macht, ist die Tatsache, dass ich in den einschägigen Handbüchern und auch im Internet immer Anleitungen finde, die im Konfigurationsdokument für "alle Server" haben wollen
Wenn ich mich nicht irre, wird dieses Dokument bei der ersten Initialisierung des LDAP Task auf dem Server angelegt.
Wenn es bei dir fehlt, dann wurde es wohl nachder Erstellung gelöscht ( "Brauchen wir nicht, weg damit"
Titel: Re: Frage zu LDAP Abfragen
Beitrag von: schroederk am 28.05.08 - 11:35:25
Ich hab nach Anleitung dieses Dokument manuell erstellen wollen, aber da wird gesagt, dass es ein Flag gibt, dass die Konfiguration für alle Server gelten soll.
Dieses Flag hab ich gar nicht.  :-[
Titel: Re: Frage zu LDAP Abfragen
Beitrag von: m3 am 28.05.08 - 11:40:36
ev. das DD noch auf einer alten Version?


Was ist denn nun eigentlich Dein Problem? Ich verlier langsam den Überblick-
Titel: Re: Frage zu LDAP Abfragen
Beitrag von: schroederk am 28.05.08 - 12:34:09
Zitat von: m3 am 28.05.08 - 11:40:36
ev. das DD noch auf einer alten Version?

Wenn Du mir noch verrätst, was DU mit DD meinst (Ich bin kein Freund von Abkürzungen)

Zitat von: m3 am 28.05.08 - 11:40:36
Was ist denn nun eigentlich Dein Problem? Ich verlier langsam den Überblick-

Mein Problem ist, dass ich über eine LDAP-Abfrage nicht die Userliste erhalte.
Momentan sind keinerlei Beschränkungen gesetzt. (siehe Screenshots vorangehende Posts)
Wenn ich bspw. über den Softerra LDAP-Browser die Basis-DN leer lasse und auch die bei ObjectClass=* belasse,
erhalte ich als Ergebnis alle in der Names.nsf enthaltenen Gruppen, aber keine User.
Sobald ich die Base-DN einschränke (z.B. auf O=Firma, wobei mein Name z.B. CN=Knud Schroeder, OU=Holding, O=Firma entspricht) dann erhalte ich merkwürdigerweise nur 3(!) User-Einträge??
Theroetisch hätte ich da wesentlich mehr Einträge erwartet (z.b. meiner)








Titel: Re: Frage zu LDAP Abfragen
Beitrag von: WernerMo am 28.05.08 - 13:08:56
Hallo,

DD ist DominoDirectory (= names.nsf).

Gruß Werner
Titel: Re: Frage zu LDAP Abfragen
Beitrag von: schroederk am 28.05.08 - 13:24:28
Zitat von: m3 am 28.05.08 - 11:40:36
ev. das DD noch auf einer alten Version?

Also das Domino Directory (vielen Dank an Werner), hat die Template-Version 7.03. (19.10.2007).

An dieser Stelle vielleicht erwähnenswert, wir haben 4 Domino-Server. 3 sind auf  7.03 FP1 und 1 ist noch auf 6.5.2 (da die Fax-Lösung noch immer keinen 7er unterstützt, geschweigedenn 8)
Titel: Re: Frage zu LDAP Abfragen
Beitrag von: schroederk am 28.05.08 - 14:00:29
Ich muss mich an einer Stelle korrigieren,

wenn ich O=Firma als Base-DN angebe, erhalte ich (beinahe nachvollziehbar) alle unter O=Firma enthaltenen Abteilungen.
Nachwievor aber keine Personen.


Gibt es vielleicht eine Einstellung, die verhindert, dass er den Baum mehr als eine Ebene heruntergeht?

Wenn das ganze ja so aussieht:
Code

O=Firma
|
---OU=Abteilung 1
|	|
|	--- CN=Mitarbeiter 1
|	    CN=Mitarbeiter 2
|	    CN=Mitarbeiter 3
|
---OU=Abteilung 2
	|
	--- CN=Mitarbeiter 4
	    CN=Mitarbeiter 5
	    CN=Mitarbeiter 6


Dann erhalte ich zwangsläufig bei O=Firma nur die Abteilungen. Auf dieser Ebene existieren aber noch keine Personen.
Die Suche müsste also rekursiv durch alle unteren Ebenen erfolgen. Ist das eventuell eine Einstellungsache, die dies verhindert?

Titel: Re: Frage zu LDAP Abfragen
Beitrag von: m3 am 28.05.08 - 14:23:54
IMHO ist das eher eine Frage der LDAP-Abfrage, als eine Notes-Einstellung.

Ich verwende den LDAP-Client:
LDAP Browser/Editor 2.8.2 beta II (http://www-unix.mcs.anl.gov/~gawor/ldap/)

Da kann man bei der Suche angeben, ob er rekursiv suchen soll.
Titel: Re: Frage zu LDAP Abfragen
Beitrag von: MeisterLampe am 23.06.08 - 11:17:04
Hallo,

ich habe diesbezüglich auch eine Frage.

Wir nutzen auch ein DA. Dort sind User einer NL eingetragen die kein Notes haben.

Das LDAP unserer DD funzt. Nun möchten wir gerne die User der NL mit abfragen.

Habe eigentlich alles so eingestellt wie hier beschrieben, den Haken im DA LDAP Clients hatte ich am Fr. noch gesetzt, der hat gefehlt.
Trotzdem werden die User vom DA im Softerra LDAP nicht angezeigt.

Muss noch etwas unter Directory -> LDAP -> Settings gestzt werden ?

Hier die Screens:
Titel: Re: Frage zu LDAP Abfragen
Beitrag von: MeisterLampe am 23.06.08 - 15:19:24
neue Info:


im LDAB Browser werden diese zwar angezeigt:

CN=Claudia Dxxxx

wenn ich aber info haben möchte, wie Telefonnr.,eMail Adresse bekomme ich die Fehlermeldung Objekt nicht vorhanden.

Auch finde ich die OU bzw. O nicht wo die User stehen müssen !