AtNotes Übersicht Willkommen Gast. Bitte einloggen oder registrieren.
18.10.21 - 22:39:43
Übersicht Hilfe Regeln Glossar Suche Einloggen Registrieren
News:
Schnellsuche:
+  Das Notes Forum
|-+  Lotus Notes / Domino Sonstiges
| |-+  Companion Products (Moderatoren: eknori, Thomas Schulte, koehlerbv)
| | |-+  Sametime 8.5 Community LDAP Anbindung
« vorheriges nächstes »
Seiten: [1] 2 3 Nach unten Drucken
Autor Thema: Sametime 8.5 Community LDAP Anbindung  (Gelesen 26774 mal)
hallo.dirk
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 2166

Admin forever ;)


« am: 18.05.10 - 23:54:47 »

Hallo,

ich sammle diese Woche auch meine ersten Erfahrungen mit 8.5:
Nachdem, wieder IBM Erwartung, der DB2 und der Consolen Server problemlos unter Linux zu installieren waren, habe ich beim Community Server (8.5 Fp1 unter Win2003) kleinere Probleme die eigentlich alle irgendetwas mit der LDAP (Domino)Auflösung zu tun haben müssen:
(Ach so, ich habe mich an die Anleitung im Info Center gehalten)


a) Personen sind übder die Suche nur noch nach Vorname zu finden
Durch hinzufügen von (sn=%s*) im LDAP Suchstring gelöst. Ist das bei mir nur so?

b) Notes 7 Clients bekommen keinen Suchserver mehr mitgeteilt, daher können die keine neuen Personen zu ihren Kontaklisten mehr hinzufügen....
Durch hinzufügen von ST_LDAP_BROWSE_ENABLED=1 in der Sametime.ini zwingend als erstes unter [DEBUG] und Ändern von VPDIR_IGNORE_BROWSE=0
gelöst.


c)Unter Notes 8.5.1 FP1 sehe ich keine onlinestati von Personen im z.B. Maileingang. (Im Plugin sehe ich sie aber)

d)Ich bekomme keine Gruppen im ST Client mehr aufgelöst?Huh

e)Unter Notes 7 konnte man sich bisher mit "User Name/OU/O" am ST Server anmelden.
Das geht nun nur noch mit "User Name". Der Parameter ST_DB_LDAP_ALLOW_SEARCH_ON_DN=1 hat noch keinen Erfolg gebacht.


Hat noch jemand Ideen was wir falsch machen oder wo etwas fehlen könnte?

Danke!
« Letzte Änderung: 19.05.10 - 17:00:53 von hallo.dirk » Gespeichert

Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints
DigitDani
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 466



WWW
« Antworten #1 am: 19.05.10 - 10:00:44 »

Hi Dirk,

ehrlich gesagt bin ich froh, dass Du diese Probleme aufzeigst. Ich habe einige davon nämlich auch bei einem Kunden und bin mir bis heute nicht sicher, ob Unwissenheit meinerseits dahintersteckt oder ob es sich um Sametime Bugs handelt.

a) Personen sind übder die Suche nur noch nach Vorname zu finden
Durch hinzufügen von (sn=%s*) im LDAP Suchstring gelöst. Ist das bei mir nur so?
Nein, auch in meinem Fall war das so.

b) Notes 7 Clients bekommen keinen Suchserver mehr mitgeteilt, daher können die keine neuen Personen zu ihren Kontaklisten mehr hinzufügen....
Das Directory Browse Feature bei LDAP Authentifizierung ist im Standard deaktiviert, im Gegensatz zur Domino Authentifizierung. Was IBM sich hier wieder gedacht hat... ich will's gar nicht wissen. Füge in der sametime.ini folgendes hinzu, bzw. ändere es ab.

VPDIR_IGNORE_BROWSE=0
ST_LDAP_BROWSE_ENABLED=1

Folge dabei unbedingt dieser Anleitung, sonst funktioniert es nicht --> Anleitung

c)Unter Notes 8.5.1 FP1 sehe ich keine onlinestati von Personen im z.B. Maileingang. (Im Plugin sehe ich sie aber)
Genau dieses Problem habe ich auch beim Kunden und noch keine Lösung dafür. Bei einigen wenigen Benutzern wird der Online Status angezeigt,  bei den meisten aber nicht, obwohl sie online sind. In unserer eigenen Sametime 8.5 Community Server Installation funktioniert das einwandfrei. Bei uns handelt es sich allerdings um eine komplette Neueinführung. Den Kunden habe ich von einem Sametime 8.0.2 mit Domino Authentifizierung auf Sametime 8.5 migriert. Dabei habe ich allerdings ebenfalls eine komplette Neuinstallation des Community Servers durchgeführt und wollte lediglich die Buddylisten aus der vpuserinfo.nsf übernehmen. Nach Umstellung auf die LDAP Auth ist mir dann aufgefallen, dass damit die Personendokumente in der vpuserinfo.nsf eine andere Notation im Benutzernamen hatten.

Statt: CN=Vorname Nachname/OU=OU/O=O stand da jetzt: CN=Vorname Nachname,OU=OU,O=O

Dadurch wurde für jede Person die sich am Community Server angemeldet hat, ein neues Dokument erzeugt und somit auch eine neue leere Buddyliste. Ich habe dann mit einem Agenten alle vorhanden Dokumente auf diese Notation umgeschossen, womit die Buddylisten auch wieder bei jedem verfügbar waren. Allerdings bestanden diese überwiegend aus öffentlichen Gruppen, die nicht mehr aufgelöst wurden. Jeder Benutzer musste die Gruppen aus der Buddyliste löschen und neu hinzufügen, erst dann wurden sie wieder aufgelöst. Ich sehe das Problem erstmal bei der LDAP Auth. Gegenüber der Domino Auth läuft da sicherlich vieles ganz anders.

e)Unter Notes 7 konnte man sich bisher mit "User Name/OU/O" am ST Server anmelden.
Das geht nun nur noch mit "User Name". Der Parameter ST_DB_LDAP_ALLOW_SEARCH_ON_DN=1 hat noch keinen Erfolg gebacht.
Auch dieses Problem habe ich bei dem Kunden. Allerdings nicht bei allen Benutzern! Diejenigen, die in den Sametime Vorgaben des Clients für die Anmeldung Domino SSO aktiv haben, hatten keine Probleme bei der Anmeldung. Bei einigen funktionierte der Login aber nicht und man konnte nur noch Vorname Nachname zur Anmeldung verwenden. Allerdings handelt es sich hier überwiegend um den 8.0.2 Basic Client, nicht um Notes 7.

P.S.:
Vergiss nicht den von Ulrich erwähnten Hotfix bezgl. der Gruppenauflösung auf dem Community Server einzuspielen:
http://atnotes.de/index.php/topic,48359.0.html
Hier müssen 3 JAR-Dateien ausgetauscht werden.
Gespeichert

Viele Grüße
Daniel
hallo.dirk
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 2166

Admin forever ;)


« Antworten #2 am: 19.05.10 - 16:54:21 »


c)Unter Notes 8.5.1 FP1 sehe ich keine onlinestati von Personen im z.B. Maileingang. (Im Plugin sehe ich sie aber)
Genau dieses Problem habe ich auch beim Kunden und noch keine Lösung dafür. Bei einigen wenigen Benutzern wird der Online Status angezeigt,  bei den meisten aber nicht, obwohl sie online sind. In unserer eigenen Sametime 8.5 Community Server Installation funktioniert das einwandfrei. Bei uns handelt es sich allerdings um eine komplette Neueinführung. Den Kunden habe ich von einem Sametime 8.0.2 mit Domino Authentifizierung auf Sametime 8.5 migriert. Dabei habe ich allerdings ebenfalls eine komplette Neuinstallation des Community Servers durchgeführt und wollte lediglich die Buddylisten aus der vpuserinfo.nsf übernehmen. Nach Umstellung auf die LDAP Auth ist mir dann aufgefallen, dass damit die Personendokumente in der vpuserinfo.nsf eine andere Notation im Benutzernamen hatten.

Statt: CN=Vorname Nachname/OU=OU/O=O stand da jetzt: CN=Vorname Nachname,OU=OU,O=O

Dadurch wurde für jede Person die sich am Community Server angemeldet hat, ein neues Dokument erzeugt und somit auch eine neue leere Buddyliste. Ich habe dann mit einem Agenten alle vorhanden Dokumente auf diese Notation umgeschossen, womit die Buddylisten auch wieder bei jedem verfügbar waren. Allerdings bestanden diese überwiegend aus öffentlichen Gruppen, die nicht mehr aufgelöst wurden. Jeder Benutzer musste die Gruppen aus der Buddyliste löschen und neu hinzufügen, erst dann wurden sie wieder aufgelöst. Ich sehe das Problem erstmal bei der LDAP Auth. Gegenüber der Domino Auth läuft da sicherlich vieles ganz anders.



Da kann ich Dir etwas zu sagen: Im Domino Verzeichnis gibt es eine stnamechange.cmd, die das bei uns gemacht hat.
Allerdings musste ich noch eine mit dem Wort LDAP gefüllte ldap.csv erstellen, die im der Console bei dem Community server hochladen (Tab Name Change).

Dann ST beenden und die stnamechange.cmd starten..



Gespeichert

Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints
hallo.dirk
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 2166

Admin forever ;)


« Antworten #3 am: 19.05.10 - 16:58:13 »


Punkt b) ist erledigt und fuktioniert nun, danke!
Der Hotfix ist drinnen....
Gespeichert

Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints
DigitDani
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 466



WWW
« Antworten #4 am: 20.05.10 - 08:00:58 »

Da kann ich Dir etwas zu sagen: Im Domino Verzeichnis gibt es eine stnamechange.cmd, die das bei uns gemacht hat.
Allerdings musste ich noch eine mit dem Wort LDAP gefüllte ldap.csv erstellen, die im der Console bei dem Community server hochladen (Tab Name Change).

Dann ST beenden und die stnamechange.cmd starten..
Klasse. Danke für den Tipp Dirk!
Gespeichert

Viele Grüße
Daniel
eknori
@Notes Preisträger
Moderator
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 11563


« Antworten #5 am: 20.05.10 - 11:17:40 »

Zitat
Durch hinzufügen von (sn=%s*) im LDAP Suchstring gelöst. Ist das bei mir nur so?

Wo trägst du das in der System Console ein?
Gespeichert
DigitDani
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 466



WWW
« Antworten #6 am: 20.05.10 - 11:33:57 »

In der System Console geht das meines Wissens nicht. Nur über die Serververwaltung in der stcenter.nsf des Community Servers.
LDAP-Verzeichnis - Suche - Suchfilter zum Auflösen von Personennamen

Gespeichert

Viele Grüße
Daniel
eknori
@Notes Preisträger
Moderator
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 11563


« Antworten #7 am: 20.05.10 - 11:42:55 »

Geht evtl. doch über die Console. Kann aber jetzt hier den Server nicht durchstarten

Gespeichert
DigitDani
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 466



WWW
« Antworten #8 am: 20.05.10 - 11:46:59 »

Stimmt. Wenn er sich intern daraus den Suchstring bastelt... daran hab ich nicht gedacht. Danke.
Gespeichert

Viele Grüße
Daniel
DigitDani
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 466



WWW
« Antworten #9 am: 20.05.10 - 11:52:42 »

Jau, klappt. Ich kann jetzt zwar auch den Server nicht neu starten aber er trägt es brav in den Suchstring ein. Habs in der Serververwaltung vom Community Server geprüft.
Gespeichert

Viele Grüße
Daniel
eknori
@Notes Preisträger
Moderator
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 11563


« Antworten #10 am: 20.05.10 - 11:54:57 »

Prima, danke für's testen.
Gespeichert
DigitDani
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 466



WWW
« Antworten #11 am: 20.05.10 - 12:00:57 »

Irgendwo da müsste doch auch die Ursache für das Problem mit dem Anmeldenamen und der Awareness-Anzeige in der MailDB zu suchen sein. Man kann ja auch die Attribute für die Authentifizierung konfigurieren. Dass die Awareness nicht korrekt funktioniert, könnte an eine fehlerhaften Auflösung des jeweiligen Benutzernamens liegen.

Ich meine diese Probleme hier, die Dirk und ich haben.
c)Unter Notes 8.5.1 FP1 sehe ich keine onlinestati von Personen im z.B. Maileingang. (Im Plugin sehe ich sie aber)
e)Unter Notes 7 konnte man sich bisher mit "User Name/OU/O" am ST Server anmelden.
Das geht nun nur noch mit "User Name". Der Parameter ST_DB_LDAP_ALLOW_SEARCH_ON_DN=1 hat noch keinen Erfolg gebacht.

Geht das bei Dir alles, Ulrich?
Gespeichert

Viele Grüße
Daniel
eknori
@Notes Preisträger
Moderator
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 11563


« Antworten #12 am: 20.05.10 - 12:26:32 »

DWA habe ich noch nicht angebunden. Bin gerade dabei, zuhause für meine Session auf dem AdminCamp eine neue Umgebung aufzusetzen ( zum gefühlten 1.023 mal ).
Wenn ich an die Stelle komme wird sich sicherlich auch eine Lösung auftun.
Gespeichert
DigitDani
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 466



WWW
« Antworten #13 am: 20.05.10 - 12:29:10 »

Ich versuche mal das Problem mit der Authentifizierung nachzuvollziehen und komme zu folgendem Schluss:

Im Standard ist der LDAP Suchstring für die Authentifizierung dieser hier:
(&(objectclass=organizationalPerson)(|(mail=%s)(cn=%s)(uid=%s)))

Ein ldapsearch auf meine Person ergibt für diese Attribute als Ergebnis:
mail=Vorname.Nachname@domain.de
cn=Vorname Nachname,O=O
cn=Vorname Nachname
uid=Shortname
uid=weitere Mailadressen

Somit wundert es mich nicht, dass man sich mit "Vorname Nachname/OU/O" nicht mehr anmelden kann. Diese Notation erhalte ich nur noch über das Attribut "displayName". Ergo müsste man doch dieses Attribut auch noch zum String für die Authentifizierung hinzufügen.
Gespeichert

Viele Grüße
Daniel
eknori
@Notes Preisträger
Moderator
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 11563


« Antworten #14 am: 20.05.10 - 12:35:21 »

Von der Logik her müsste es also in der System Console hier rein
Gespeichert
DigitDani
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 466



WWW
« Antworten #15 am: 20.05.10 - 12:36:53 »

DWA habe ich noch nicht angebunden. Bin gerade dabei, zuhause für meine Session auf dem AdminCamp eine neue Umgebung aufzusetzen ( zum gefühlten 1.023 mal ).
Wenn ich an die Stelle komme wird sich sicherlich auch eine Lösung auftun.
Zumindest in meinem Fall hat das mit DWA gar nichts zu tun Ulrich.
Bei einem Kunden von mir funktioniert unternehmensweit die Awarenessanzeige in der MailDB, bei Zugriff über den Notes Client - egal ob Basic oder Standard - nur noch für sehr wenige Benutzer. Damit meine ich nicht, dass bei sehr wenigen Benutzern die Awareness für alle die online sind funktioniert, sondern dass bei allen Benutzern nur noch eine Hand voll online User z. B. im Posteingang angezeigt werden. Und das obwohl viel mehr Mitarbeiter online sind, von denen auch Mails im Posteingang liegen.
Oh je, den Satz verstehe ich jetzt selbst kaum mehr  Smiley

Das zweite Problem betrifft die Anmeldung am Community Server über den Connect Client oder den embedded Client. Hier verwendete der Kunde früher immer Vorname Nachname/OU/O. Seit der Umstellung auf Sametime 8.5 und damit auf LDAP Auth, funktioniert das nicht mehr. Aber das habe ich ja gerade im letzten Post versucht zu verstehen. Getestet habe ich es noch nicht.
Gespeichert

Viele Grüße
Daniel
DigitDani
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 466



WWW
« Antworten #16 am: 20.05.10 - 12:37:16 »

Von der Logik her müsste es also in der System Console hier rein
Genau das vermute ich, ja
Gespeichert

Viele Grüße
Daniel
eknori
@Notes Preisträger
Moderator
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 11563


« Antworten #17 am: 20.05.10 - 12:42:12 »

Zitat
Oh je, den Satz verstehe ich jetzt selbst kaum mehr
Hab's schon verstanden ...

Es hat sich bei uns bisher noch keiner beschwert, dass ihm da was fehlt. Aber das mag nichts heissen.
Ist das bei allen Notes Versionen so, oder nur bei einzelnen?

Update: Auf die Schnelle habe das hier gefunden http://www-01.ibm.com/support/docview.wss?uid=swg21294734 und http://www-01.ibm.com/support/docview.wss?uid=swg21302993
« Letzte Änderung: 20.05.10 - 12:46:23 von eknori » Gespeichert
eknori
@Notes Preisträger
Moderator
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 11563


« Antworten #18 am: 20.05.10 - 12:52:09 »

Das hier http://www-10.lotus.com/ldd/stforum.nsf/55c38d716d632d9b8525689b005ba1c0/4116b7cdee5bfaf28525758c004ba0aa?OpenDocument könnte auch noch hilfreich sein
Gespeichert
DigitDani
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 466



WWW
« Antworten #19 am: 20.05.10 - 12:52:25 »

Es hat sich bei uns bisher noch keiner beschwert, dass ihm da was fehlt. Aber das mag nichts heissen.
Ist das bei allen Notes Versionen so, oder nur bei einzelnen?
Tritt auf im 8.0.2 Basic & Standard und im 8.5.1 Basic und Standard Client. Es betrifft alle Benutzer.

Danke! Das ist schonmal kein schlechter Hinweis. Was in meinem Fall dagegen spricht:
- Es tritt auch in Datenbanken mit 8.5.1er Mailtemplate auf
- Es sind alle Ordner und Ansichten betroffen, die Awareness bieten. Nicht nur die Inbox

Auf den Fehler der in der Sametime Server Konsole angeblich aufteten soll werde ich mal achten. Bisher war mir nichts aufgefallen.
Gespeichert

Viele Grüße
Daniel
Seiten: [1] 2 3 Nach oben Drucken 
« vorheriges nächstes »
Gehe zu:  


Einloggen mit Benutzername, Passwort und Sitzungslänge

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006, Simple Machines Prüfe XHTML 1.0 Prüfe CSS
Impressum Atnotes.de - Powered by Syslords Solutions - Datenschutz | Partner: