Autor Thema: Sametime 8.5 Community LDAP Anbindung  (Gelesen 30021 mal)

Offline hallo.dirk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.166
  • Geschlecht: Männlich
  • Admin forever ;)
Sametime 8.5 Community LDAP Anbindung
« am: 18.05.10 - 23:54:47 »
Hallo,

ich sammle diese Woche auch meine ersten Erfahrungen mit 8.5:
Nachdem, wieder IBM Erwartung, der DB2 und der Consolen Server problemlos unter Linux zu installieren waren, habe ich beim Community Server (8.5 Fp1 unter Win2003) kleinere Probleme die eigentlich alle irgendetwas mit der LDAP (Domino)Auflösung zu tun haben müssen:
(Ach so, ich habe mich an die Anleitung im Info Center gehalten)


a) Personen sind übder die Suche nur noch nach Vorname zu finden
Durch hinzufügen von (sn=%s*) im LDAP Suchstring gelöst. Ist das bei mir nur so?

b) Notes 7 Clients bekommen keinen Suchserver mehr mitgeteilt, daher können die keine neuen Personen zu ihren Kontaklisten mehr hinzufügen....
Durch hinzufügen von ST_LDAP_BROWSE_ENABLED=1 in der Sametime.ini zwingend als erstes unter [DEBUG] und Ändern von VPDIR_IGNORE_BROWSE=0
gelöst.


c)Unter Notes 8.5.1 FP1 sehe ich keine onlinestati von Personen im z.B. Maileingang. (Im Plugin sehe ich sie aber)

d)Ich bekomme keine Gruppen im ST Client mehr aufgelöst????

e)Unter Notes 7 konnte man sich bisher mit "User Name/OU/O" am ST Server anmelden.
Das geht nun nur noch mit "User Name". Der Parameter ST_DB_LDAP_ALLOW_SEARCH_ON_DN=1 hat noch keinen Erfolg gebacht.


Hat noch jemand Ideen was wir falsch machen oder wo etwas fehlen könnte?

Danke!
« Letzte Änderung: 19.05.10 - 17:00:53 von hallo.dirk »
Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints

Offline DigitDani

  • Senior Mitglied
  • ****
  • Beiträge: 466
  • Geschlecht: Männlich
    • panagenda
Re: Sametime 8.5 Community LDAP Anbindung
« Antwort #1 am: 19.05.10 - 10:00:44 »
Hi Dirk,

ehrlich gesagt bin ich froh, dass Du diese Probleme aufzeigst. Ich habe einige davon nämlich auch bei einem Kunden und bin mir bis heute nicht sicher, ob Unwissenheit meinerseits dahintersteckt oder ob es sich um Sametime Bugs handelt.

a) Personen sind übder die Suche nur noch nach Vorname zu finden
Durch hinzufügen von (sn=%s*) im LDAP Suchstring gelöst. Ist das bei mir nur so?
Nein, auch in meinem Fall war das so.

b) Notes 7 Clients bekommen keinen Suchserver mehr mitgeteilt, daher können die keine neuen Personen zu ihren Kontaklisten mehr hinzufügen....
Das Directory Browse Feature bei LDAP Authentifizierung ist im Standard deaktiviert, im Gegensatz zur Domino Authentifizierung. Was IBM sich hier wieder gedacht hat... ich will's gar nicht wissen. Füge in der sametime.ini folgendes hinzu, bzw. ändere es ab.

VPDIR_IGNORE_BROWSE=0
ST_LDAP_BROWSE_ENABLED=1

Folge dabei unbedingt dieser Anleitung, sonst funktioniert es nicht --> Anleitung

c)Unter Notes 8.5.1 FP1 sehe ich keine onlinestati von Personen im z.B. Maileingang. (Im Plugin sehe ich sie aber)
Genau dieses Problem habe ich auch beim Kunden und noch keine Lösung dafür. Bei einigen wenigen Benutzern wird der Online Status angezeigt,  bei den meisten aber nicht, obwohl sie online sind. In unserer eigenen Sametime 8.5 Community Server Installation funktioniert das einwandfrei. Bei uns handelt es sich allerdings um eine komplette Neueinführung. Den Kunden habe ich von einem Sametime 8.0.2 mit Domino Authentifizierung auf Sametime 8.5 migriert. Dabei habe ich allerdings ebenfalls eine komplette Neuinstallation des Community Servers durchgeführt und wollte lediglich die Buddylisten aus der vpuserinfo.nsf übernehmen. Nach Umstellung auf die LDAP Auth ist mir dann aufgefallen, dass damit die Personendokumente in der vpuserinfo.nsf eine andere Notation im Benutzernamen hatten.

Statt: CN=Vorname Nachname/OU=OU/O=O stand da jetzt: CN=Vorname Nachname,OU=OU,O=O

Dadurch wurde für jede Person die sich am Community Server angemeldet hat, ein neues Dokument erzeugt und somit auch eine neue leere Buddyliste. Ich habe dann mit einem Agenten alle vorhanden Dokumente auf diese Notation umgeschossen, womit die Buddylisten auch wieder bei jedem verfügbar waren. Allerdings bestanden diese überwiegend aus öffentlichen Gruppen, die nicht mehr aufgelöst wurden. Jeder Benutzer musste die Gruppen aus der Buddyliste löschen und neu hinzufügen, erst dann wurden sie wieder aufgelöst. Ich sehe das Problem erstmal bei der LDAP Auth. Gegenüber der Domino Auth läuft da sicherlich vieles ganz anders.

e)Unter Notes 7 konnte man sich bisher mit "User Name/OU/O" am ST Server anmelden.
Das geht nun nur noch mit "User Name". Der Parameter ST_DB_LDAP_ALLOW_SEARCH_ON_DN=1 hat noch keinen Erfolg gebacht.
Auch dieses Problem habe ich bei dem Kunden. Allerdings nicht bei allen Benutzern! Diejenigen, die in den Sametime Vorgaben des Clients für die Anmeldung Domino SSO aktiv haben, hatten keine Probleme bei der Anmeldung. Bei einigen funktionierte der Login aber nicht und man konnte nur noch Vorname Nachname zur Anmeldung verwenden. Allerdings handelt es sich hier überwiegend um den 8.0.2 Basic Client, nicht um Notes 7.

P.S.:
Vergiss nicht den von Ulrich erwähnten Hotfix bezgl. der Gruppenauflösung auf dem Community Server einzuspielen:
http://atnotes.de/index.php/topic,48359.0.html
Hier müssen 3 JAR-Dateien ausgetauscht werden.
Viele Grüße
Daniel

Offline hallo.dirk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.166
  • Geschlecht: Männlich
  • Admin forever ;)
Re: Sametime 8.5 Community LDAP Anbindung
« Antwort #2 am: 19.05.10 - 16:54:21 »

c)Unter Notes 8.5.1 FP1 sehe ich keine onlinestati von Personen im z.B. Maileingang. (Im Plugin sehe ich sie aber)
Genau dieses Problem habe ich auch beim Kunden und noch keine Lösung dafür. Bei einigen wenigen Benutzern wird der Online Status angezeigt,  bei den meisten aber nicht, obwohl sie online sind. In unserer eigenen Sametime 8.5 Community Server Installation funktioniert das einwandfrei. Bei uns handelt es sich allerdings um eine komplette Neueinführung. Den Kunden habe ich von einem Sametime 8.0.2 mit Domino Authentifizierung auf Sametime 8.5 migriert. Dabei habe ich allerdings ebenfalls eine komplette Neuinstallation des Community Servers durchgeführt und wollte lediglich die Buddylisten aus der vpuserinfo.nsf übernehmen. Nach Umstellung auf die LDAP Auth ist mir dann aufgefallen, dass damit die Personendokumente in der vpuserinfo.nsf eine andere Notation im Benutzernamen hatten.

Statt: CN=Vorname Nachname/OU=OU/O=O stand da jetzt: CN=Vorname Nachname,OU=OU,O=O

Dadurch wurde für jede Person die sich am Community Server angemeldet hat, ein neues Dokument erzeugt und somit auch eine neue leere Buddyliste. Ich habe dann mit einem Agenten alle vorhanden Dokumente auf diese Notation umgeschossen, womit die Buddylisten auch wieder bei jedem verfügbar waren. Allerdings bestanden diese überwiegend aus öffentlichen Gruppen, die nicht mehr aufgelöst wurden. Jeder Benutzer musste die Gruppen aus der Buddyliste löschen und neu hinzufügen, erst dann wurden sie wieder aufgelöst. Ich sehe das Problem erstmal bei der LDAP Auth. Gegenüber der Domino Auth läuft da sicherlich vieles ganz anders.



Da kann ich Dir etwas zu sagen: Im Domino Verzeichnis gibt es eine stnamechange.cmd, die das bei uns gemacht hat.
Allerdings musste ich noch eine mit dem Wort LDAP gefüllte ldap.csv erstellen, die im der Console bei dem Community server hochladen (Tab Name Change).

Dann ST beenden und die stnamechange.cmd starten..



Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints

Offline hallo.dirk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.166
  • Geschlecht: Männlich
  • Admin forever ;)
Re: Sametime 8.5 Community LDAP Anbindung
« Antwort #3 am: 19.05.10 - 16:58:13 »

Punkt b) ist erledigt und fuktioniert nun, danke!
Der Hotfix ist drinnen....
Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints

Offline DigitDani

  • Senior Mitglied
  • ****
  • Beiträge: 466
  • Geschlecht: Männlich
    • panagenda
Re: Sametime 8.5 Community LDAP Anbindung
« Antwort #4 am: 20.05.10 - 08:00:58 »
Da kann ich Dir etwas zu sagen: Im Domino Verzeichnis gibt es eine stnamechange.cmd, die das bei uns gemacht hat.
Allerdings musste ich noch eine mit dem Wort LDAP gefüllte ldap.csv erstellen, die im der Console bei dem Community server hochladen (Tab Name Change).

Dann ST beenden und die stnamechange.cmd starten..
Klasse. Danke für den Tipp Dirk!
Viele Grüße
Daniel

Offline eknori

  • @Notes Preisträger
  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.710
  • Geschlecht: Männlich
Re: Sametime 8.5 Community LDAP Anbindung
« Antwort #5 am: 20.05.10 - 11:17:40 »
Zitat
Durch hinzufügen von (sn=%s*) im LDAP Suchstring gelöst. Ist das bei mir nur so?

Wo trägst du das in der System Console ein?
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline DigitDani

  • Senior Mitglied
  • ****
  • Beiträge: 466
  • Geschlecht: Männlich
    • panagenda
Re: Sametime 8.5 Community LDAP Anbindung
« Antwort #6 am: 20.05.10 - 11:33:57 »
In der System Console geht das meines Wissens nicht. Nur über die Serververwaltung in der stcenter.nsf des Community Servers.
LDAP-Verzeichnis - Suche - Suchfilter zum Auflösen von Personennamen

Viele Grüße
Daniel

Offline eknori

  • @Notes Preisträger
  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.710
  • Geschlecht: Männlich
Re: Sametime 8.5 Community LDAP Anbindung
« Antwort #7 am: 20.05.10 - 11:42:55 »
Geht evtl. doch über die Console. Kann aber jetzt hier den Server nicht durchstarten

Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline DigitDani

  • Senior Mitglied
  • ****
  • Beiträge: 466
  • Geschlecht: Männlich
    • panagenda
Re: Sametime 8.5 Community LDAP Anbindung
« Antwort #8 am: 20.05.10 - 11:46:59 »
Stimmt. Wenn er sich intern daraus den Suchstring bastelt... daran hab ich nicht gedacht. Danke.
Viele Grüße
Daniel

Offline DigitDani

  • Senior Mitglied
  • ****
  • Beiträge: 466
  • Geschlecht: Männlich
    • panagenda
Re: Sametime 8.5 Community LDAP Anbindung
« Antwort #9 am: 20.05.10 - 11:52:42 »
Jau, klappt. Ich kann jetzt zwar auch den Server nicht neu starten aber er trägt es brav in den Suchstring ein. Habs in der Serververwaltung vom Community Server geprüft.
Viele Grüße
Daniel

Offline eknori

  • @Notes Preisträger
  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.710
  • Geschlecht: Männlich
Re: Sametime 8.5 Community LDAP Anbindung
« Antwort #10 am: 20.05.10 - 11:54:57 »
Prima, danke für's testen.
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline DigitDani

  • Senior Mitglied
  • ****
  • Beiträge: 466
  • Geschlecht: Männlich
    • panagenda
Re: Sametime 8.5 Community LDAP Anbindung
« Antwort #11 am: 20.05.10 - 12:00:57 »
Irgendwo da müsste doch auch die Ursache für das Problem mit dem Anmeldenamen und der Awareness-Anzeige in der MailDB zu suchen sein. Man kann ja auch die Attribute für die Authentifizierung konfigurieren. Dass die Awareness nicht korrekt funktioniert, könnte an eine fehlerhaften Auflösung des jeweiligen Benutzernamens liegen.

Ich meine diese Probleme hier, die Dirk und ich haben.
c)Unter Notes 8.5.1 FP1 sehe ich keine onlinestati von Personen im z.B. Maileingang. (Im Plugin sehe ich sie aber)
e)Unter Notes 7 konnte man sich bisher mit "User Name/OU/O" am ST Server anmelden.
Das geht nun nur noch mit "User Name". Der Parameter ST_DB_LDAP_ALLOW_SEARCH_ON_DN=1 hat noch keinen Erfolg gebacht.

Geht das bei Dir alles, Ulrich?
Viele Grüße
Daniel

Offline eknori

  • @Notes Preisträger
  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.710
  • Geschlecht: Männlich
Re: Sametime 8.5 Community LDAP Anbindung
« Antwort #12 am: 20.05.10 - 12:26:32 »
DWA habe ich noch nicht angebunden. Bin gerade dabei, zuhause für meine Session auf dem AdminCamp eine neue Umgebung aufzusetzen ( zum gefühlten 1.023 mal ).
Wenn ich an die Stelle komme wird sich sicherlich auch eine Lösung auftun.
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline DigitDani

  • Senior Mitglied
  • ****
  • Beiträge: 466
  • Geschlecht: Männlich
    • panagenda
Re: Sametime 8.5 Community LDAP Anbindung
« Antwort #13 am: 20.05.10 - 12:29:10 »
Ich versuche mal das Problem mit der Authentifizierung nachzuvollziehen und komme zu folgendem Schluss:

Im Standard ist der LDAP Suchstring für die Authentifizierung dieser hier:
(&(objectclass=organizationalPerson)(|(mail=%s)(cn=%s)(uid=%s)))

Ein ldapsearch auf meine Person ergibt für diese Attribute als Ergebnis:
mail=Vorname.Nachname@domain.de
cn=Vorname Nachname,O=O
cn=Vorname Nachname
uid=Shortname
uid=weitere Mailadressen

Somit wundert es mich nicht, dass man sich mit "Vorname Nachname/OU/O" nicht mehr anmelden kann. Diese Notation erhalte ich nur noch über das Attribut "displayName". Ergo müsste man doch dieses Attribut auch noch zum String für die Authentifizierung hinzufügen.
Viele Grüße
Daniel

Offline eknori

  • @Notes Preisträger
  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.710
  • Geschlecht: Männlich
Re: Sametime 8.5 Community LDAP Anbindung
« Antwort #14 am: 20.05.10 - 12:35:21 »
Von der Logik her müsste es also in der System Console hier rein
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline DigitDani

  • Senior Mitglied
  • ****
  • Beiträge: 466
  • Geschlecht: Männlich
    • panagenda
Re: Sametime 8.5 Community LDAP Anbindung
« Antwort #15 am: 20.05.10 - 12:36:53 »
DWA habe ich noch nicht angebunden. Bin gerade dabei, zuhause für meine Session auf dem AdminCamp eine neue Umgebung aufzusetzen ( zum gefühlten 1.023 mal ).
Wenn ich an die Stelle komme wird sich sicherlich auch eine Lösung auftun.
Zumindest in meinem Fall hat das mit DWA gar nichts zu tun Ulrich.
Bei einem Kunden von mir funktioniert unternehmensweit die Awarenessanzeige in der MailDB, bei Zugriff über den Notes Client - egal ob Basic oder Standard - nur noch für sehr wenige Benutzer. Damit meine ich nicht, dass bei sehr wenigen Benutzern die Awareness für alle die online sind funktioniert, sondern dass bei allen Benutzern nur noch eine Hand voll online User z. B. im Posteingang angezeigt werden. Und das obwohl viel mehr Mitarbeiter online sind, von denen auch Mails im Posteingang liegen.
Oh je, den Satz verstehe ich jetzt selbst kaum mehr  :)

Das zweite Problem betrifft die Anmeldung am Community Server über den Connect Client oder den embedded Client. Hier verwendete der Kunde früher immer Vorname Nachname/OU/O. Seit der Umstellung auf Sametime 8.5 und damit auf LDAP Auth, funktioniert das nicht mehr. Aber das habe ich ja gerade im letzten Post versucht zu verstehen. Getestet habe ich es noch nicht.
Viele Grüße
Daniel

Offline DigitDani

  • Senior Mitglied
  • ****
  • Beiträge: 466
  • Geschlecht: Männlich
    • panagenda
Re: Sametime 8.5 Community LDAP Anbindung
« Antwort #16 am: 20.05.10 - 12:37:16 »
Von der Logik her müsste es also in der System Console hier rein
Genau das vermute ich, ja
Viele Grüße
Daniel

Offline eknori

  • @Notes Preisträger
  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.710
  • Geschlecht: Männlich
Re: Sametime 8.5 Community LDAP Anbindung
« Antwort #17 am: 20.05.10 - 12:42:12 »
Zitat
Oh je, den Satz verstehe ich jetzt selbst kaum mehr
Hab's schon verstanden ...

Es hat sich bei uns bisher noch keiner beschwert, dass ihm da was fehlt. Aber das mag nichts heissen.
Ist das bei allen Notes Versionen so, oder nur bei einzelnen?

Update: Auf die Schnelle habe das hier gefunden http://www-01.ibm.com/support/docview.wss?uid=swg21294734 und http://www-01.ibm.com/support/docview.wss?uid=swg21302993
« Letzte Änderung: 20.05.10 - 12:46:23 von eknori »
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline eknori

  • @Notes Preisträger
  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.710
  • Geschlecht: Männlich
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline DigitDani

  • Senior Mitglied
  • ****
  • Beiträge: 466
  • Geschlecht: Männlich
    • panagenda
Re: Sametime 8.5 Community LDAP Anbindung
« Antwort #19 am: 20.05.10 - 12:52:25 »
Es hat sich bei uns bisher noch keiner beschwert, dass ihm da was fehlt. Aber das mag nichts heissen.
Ist das bei allen Notes Versionen so, oder nur bei einzelnen?
Tritt auf im 8.0.2 Basic & Standard und im 8.5.1 Basic und Standard Client. Es betrifft alle Benutzer.

Update: Auf die Schnelle habe das hier gefunden http://www-01.ibm.com/support/docview.wss?uid=swg21294734 und http://www-01.ibm.com/support/docview.wss?uid=swg21302993
Danke! Das ist schonmal kein schlechter Hinweis. Was in meinem Fall dagegen spricht:
- Es tritt auch in Datenbanken mit 8.5.1er Mailtemplate auf
- Es sind alle Ordner und Ansichten betroffen, die Awareness bieten. Nicht nur die Inbox

Auf den Fehler der in der Sametime Server Konsole angeblich aufteten soll werde ich mal achten. Bisher war mir nichts aufgefallen.
Viele Grüße
Daniel

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz