LDAP Authentifizierung nach Update ohne funktion

Hi,

ich habe heute unsere Nextcloud instanz auf Version 25 geupgradet. Nun funktioniert aber unsere LDAP Anmeldung nicht mehr, die User erhalten die Meldung das dass Kennwort falsch ist.
Im LDAP Addon habe ich bereichs geschaut, da findet er die user wenn ich anhand der Mailadresse suche.
In den Logs sehe ich folgenden Eintrag:

{"reqId":"5RkOkjvjmG9Qow7u8Cy6","level":2,"time":"2022-12-02T11:37:55+00:00","remoteAddr":"XXX.96.XXX.90","user":"--","app":"user_ldap","method":"POST","url":"/index.php/login","message":"LDAP Login: Could not get user object for DN cn=tobias XXX,ou=people,ou=XXX,o=XXX,c=de. Maybe the LDAP entry has no set display name attribute?","userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36","version":"25.0.1.1","data":{"app":"user_ldap"}}
{"reqId":"5RkOkjvjmG9Qow7u8Cy6","level":2,"time":"2022-12-02T11:37:55+00:00","remoteAddr":"XXX.96.XXX.90","user":"--","app":"user_ldap","method":"POST","url":"/index.php/login","message":"LDAP Login: Could not get user object for DN cn=tobias XXX,ou=people,ou=XXX,o=XXX,c=de. Maybe the LDAP entry has no set display name attribute?","userAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36","version":"25.0.1.1","data":{"app":"user_ldap"}}

Der DN der aufgerufen wird passt soweit und DisplayName ist auch im LDAP vorhanden und gesetzt.

Auch die Userliste funktioniert scheinbar nicht mehr:

Es ist ein Fehler bei der Anfrage aufgetreten. Es kann nicht fortgefahren werden.

Leider sind die Fehlermeldungen nicht wirklich aussagekräftig und auch das Log will nicht wirklich mehr verraten.
Hat jemand eine Idee wo das Problem liegen könnte?

Meine Umgebung:
Ubuntu 20.04

+-------------------------------+--------------------------------------------------------+
| Configuration                 | s02                                                    |
+-------------------------------+--------------------------------------------------------+
| hasMemberOfFilterSupport      | 0                                                      |
| homeFolderNamingRule          |                                                        |
| lastJpegPhotoLookup           | 0                                                      |
| ldapAgentName                 |                                                        |
| ldapAgentPassword             | ***                                                    |
| ldapAttributesForGroupSearch  |                                                        |
| ldapAttributesForUserSearch   |                                                        |
| ldapBackupHost                |                                                        |
| ldapBackupPort                |                                                        |
| ldapBase                      | ou=People,ou=XXX,o=XXX,c=de                     |
| ldapBaseGroups                | ou=People,ou=XXX,o=XXX,c=de                     |
| ldapBaseUsers                 | ou=People,ou=XXX,o=XXX,c=de                     |
| ldapCacheTTL                  | 600                                                    |
| ldapConfigurationActive       | 1                                                      |
| ldapDefaultPPolicyDN          |                                                        |
| ldapDynamicGroupMemberURL     |                                                        |
| ldapEmailAttribute            | mail                                                   |
| ldapExperiencedAdmin          | 0                                                      |
| ldapExpertUUIDGroupAttr       |                                                        |
| ldapExpertUUIDUserAttr        |                                                        |
| ldapExpertUsernameAttr        |                                                        |
| ldapExtStorageHomeAttribute   |                                                        |
| ldapGidNumber                 | gidNumber                                              |
| ldapGroupDisplayName          | cn                                                     |
| ldapGroupFilter               | (&(|(objectclass=fhgInstitute)))                       |
| ldapGroupFilterGroups         |                                                        |
| ldapGroupFilterMode           | 0                                                      |
| ldapGroupFilterObjectclass    | fhgInstitute                                           |
| ldapGroupMemberAssocAttr      | uniqueMember                                           |
| ldapHost                      | ldaps://XXX.iam.XXX.de                      |
| ldapIgnoreNamingRules         |                                                        |
| ldapLoginFilter               | (&(|(objectclass=fhgUser))(|(fhgUid=%uid)(mail=%uid))) |
| ldapLoginFilterAttributes     | fhgUid;mail                                            |
| ldapLoginFilterEmail          | 0                                                      |
| ldapLoginFilterMode           | 0                                                      |
| ldapLoginFilterUsername       | 0                                                      |
| ldapMatchingRuleInChainState  | unknown                                                |
| ldapNestedGroups              | 0                                                      |
| ldapOverrideMainServer        |                                                        |
| ldapPagingSize                | 500                                                    |
| ldapPort                      | 636                                                    |
| ldapQuotaAttribute            |                                                        |
| ldapQuotaDefault              |                                                        |
| ldapTLS                       | 0                                                      |
| ldapUserAvatarRule            | default                                                |
| ldapUserDisplayName           | displayname                                            |
| ldapUserDisplayName2          |                                                        |
| ldapUserFilter                | (|(objectclass=fhgUser))                               |
| ldapUserFilterGroups          |                                                        |
| ldapUserFilterMode            | 0                                                      |
| ldapUserFilterObjectclass     | fhgUser                                                |
| ldapUuidGroupAttribute        | auto                                                   |
| ldapUuidUserAttribute         | auto                                                   |
| turnOffCertCheck              | 0                                                      |
| turnOnPasswordChange          | 0                                                      |
| useMemberOfToDetectMembership | 1                                                      |
+-------------------------------+--------------------------------------------------------+

Downgrade des LDAP Addons hat geholfen… Das es dafür noch kein Hotfix gibt der verteilt wird ist absolut unbegreiflich…

Hi,

ich habe zwei Umgebungen aktuell auf v25. Meine produktive Umgebung brachte den gleichen Fehler nach dem Update auf 25.0.1.

Meine Lösung: Es hat geholfen den Internen Benutzernamen unter “Experte” in den LDAP Einstellungen zu ändern. Hier habe ich jetzt CN statt sAMAccountName stehen und damit klappte der Login wieder.

In meine Testumgebung, die auch nur eine Kopie der produktiven ist, steht da immer noch auf sAMAccountName und der Login in funktioniert dennoch.

Grüße Swen