Problem with ldap group sync in POC project

🌐 International support
1

Hi all,

We are trying to spread the joy of nextcloud in Denmark :slight_smile:

I’m making a POC project with a Nextcloud setup that LDAP integrates with a Zentyal setup. Which is based on Samba LDAP.

I have full user sync enabled. So used made in Zentyal AD can access Nextcloud.
Now i want AD groups to sync, so i’m able to build my entire share access infrastructure from AD and implement it on the folders in nextcloud.

My problem is when i go to LDAP/AD integration in administration in nextcloud and chose groups i can’t get any dropdown from the “Only these object classes:” or “Only from these groups”

I am however able to make a LDAP query filter and have ALL groups sync to nextcloud. But that would involve me getting allot of groups in nextcloud i don’t need.

I have tried with a LDAP QUERY that singels out one group but that won’t sync either. It will only take the filter that takes all groups.

Any ideas of what is going on here? I need a push in the right direction :slight_smile:

2

Hi. Is it okay to switch to Danish?

Hej.

Jeg bruger godt nok ikke et AD domain-like setup med SAMBA, men derimod OpenLDAP. Det Êndrer ikke pÄ at jeg ogsÄ selv har vÊret nÞdsaget til at angive min prÊcise query.

Her er hvad jeg selv har angivet i mine LDAP instillinger (mit interface er pÄ dansk, sÄ det bliver med dansk ogsÄ i instillingerne). OBS! Jeg bruger dynamiske grupper, sÄ se bort fra memberUrl:

Advanceret -> Mappe instillinger

LDAP
LDAP786×791 34.3 KB

Og jeg har ikke brugt opslags metoden for at finde de Ăžnskede objectclasses, men har i stedet angivet et LDAP filter:

LDAP2
LDAP2636×647 23.7 KB

Du kan modificere din LDAP query. Det nemmeste du kan gÞre er dog at bruge en decideret LDAP browser - jeg anbefaler og bruger stort kun Apache Directory Studio - og sÄ lave et filter. Der er deri en advanceret LDAP query tool, som forstÄr det skema det er connected til. NÄr dit filter viser kun de grupper du er interesseret i, kan du kopiere dette filter direkte ind i det felt du ser ovenover.

3

uh a fellow dane :slight_smile:

tak for dit svar.

jeg har sammet setup som dig men det virker bare ikke.
nu ligner det med dit ldap filter at du filtrer noget fra. Er det ikke det pipe gĂžr?

men jeg har fx prĂžvet med en filter der kun tager en gruppe med over
(&(objectClass=groupOfNames)(cn=testGrp))

testGrp gruppen findes som en security group men nextcloud kan ikke finde den nĂ„r jeg vĂŠlger “verify settings and count the groups”

Kan du se hvad jeg gĂžr forkert?

4

Pipe er “eller”

& = og
| = eller
! = not

Jeg har bÄde almindelige grupper og dynamiske grupper, hvorfor jeg bÄde vil have groupOfNames og groupOfURIs

Har du husket at sétte dit basedn for dn search under advanceret → Mappe instillinger?

Og er det groupOfNames i SAMBA? SĂ„ vidt jeg husker er objectClass i AD og SAMBA “blot” group?

prĂžv det her:
(&(objectClass=group)(cn=testGrp))

5

Et tip: FĂ„ sat den her “User Home Folder Naming Rule” INDEN du lader nogen som helst brugere ind. Ellers navngives brugernes foldere i dit fil system, med deres UID, medmindre det giver mening i forhold til GDPR, at deres folder er “anonymiseret” selvfĂžlgelig. Det gĂžr blot recovery en del svĂŠrre da du skal matche deres UID for at finde den rigtige fil folder at genskabe.

image
image1433×761 31 KB

6

Hej Igen,

Tak for tippet. Jeg tror lige jeg skal fÄ det gjort pÄ produktionen nÄr det gÄr i drift.

Base DN
Under advanced → directory settings har jeg udfyldt
Base group tree og Base user tree
begge med domain unc path fx dc=contorso, dc=dk
Er det ikke rigtigt?

Jeg har prÞvet (&(objectClass=group)(cn=testGrp)) har jeg prÞvet. Fandt syntaxen i en google sÞgning men den virkede ikke. DOG! virkede din!! Jeg mÄ ha skrevet noget forkert eller et eller andet.

Jeg kan leve med den lÞsning. SÄ tilfÞjer jeg bare flere grupper til filteret i produktioenn. sÄ mange er det heller ikke.

mange tak for hjĂŠlpen!

7

Hvis dine grupper er placeret i en specific OU, sĂŠtter du den den bare i base dn for grupper.

Hvis dine grupper har specifikke navne pre-fixes eller endelser, kan du bruge*

(&(object class=(group)(cn=myprefix*)(cn=*myending))

8

This topic was automatically closed 8 days after the last reply. New replies are no longer allowed.