[TYPO3-german] LDAP und ADS Query-Limit von 1000

Mon Apr 16 03:14:48 CEST 2007

Carsten Schmidt schrieb:
> Hallo NG,
> 
> ich hoffe ich finde hier jemanden, der mir bei unserem Problem helfen kann.
> 
> Unsere Firma setzt seit ein paar Jahren auf Typo3 im Internetauftritt.
> In näherer Zukunft soll die Seite jetzt um das Intranet erweitert werden.
> 
> Wir möchten Intranet-Benutzer einfach über ein Login-Form über LDAP
> (2000er ADS) authentifizieren. Lokale Rechner sollen über die IP
> automatisch angemeldet werden.
> 
> Wir nahmen die Extension "eu_ldap", welche nach ein paar
> Anlaufschwierigkeiten auch irgendwann funktionierte und meldeten lokal
> arbeitende Kollegen über die Extension Automatic FE login by IP
> (cc_iplogin_fe) an. Auch das funktionierte irgendwann wunderbar und der
> manuell angelegte Benutzer "intranet" wurde automatisch anmeldet wenn
> eine bekannte IP auf die Seite kam.
> 
> Die Freude war groß, jetzt aber rüber ins Produktivsystem. Hier haben
> wir, wie oben geschrieben, eine Windows 2000 Domäne mit 5000 oder mehr
> User!-Objekten. Eu_ldap importiert aber nur 1000 davon, warum? Ein paar
> Tage später hatte ich im Netz einen Ansatz gefunden. Die ADS hat ein
> Query-Limit von 1000 und gibt einfach nicht mehr Objekte zurück.  Bei
> Windows 2003 liegt das Limit immerhin schon bei 1500, würde bei uns
> leider auch nicht ausreichen.
> 
> Das Limit hochzusetzen, was theoretisch gehen soll, stoß
> verständlicherweise auf keine große Begeisterung bei unseren
> Domain-Admins. Niemand kann sagen was für Auswirkungen dies auf die
> produktive Umgebung hat.
> 
> Kann uns hier jemand weiterhelfen, bzw. gibt es Möglichkeiten den Import
> bei eu_ldap in mehrere Teile aufzuspalten? Gibt es andere Extensions die
> vielleicht keinen Userimport durchführen, uns aber trotzdem die
> automatische Anmeldung über cc_iplogin_fe (oder Alternative hierzu)
> ermöglicht?

Erstmal:
Grundsätzlich funktioniert eu_ldap auch in oben beschriebenen Fall.
Allerdings lassen sich die User aufgrund des Limits nicht mehr
vollständig manuell importieren. Wenn sich ein User am FE anmeldet, wird
anhand der übergebenen Daten geprüft, ob er lokal oder auf dem AD
existiert und der User anhand Benutzername und Passwort gegen den AD
authentifiziert. Hast Du in der Konfiguration “Import users
automatically” aktiviert, solltest Du also irgendwann mal alle
Datensätze aus dem AD in TYPO3 importiert.
Voraussetzung ist also, dass sich nicht automatisch erkannte Benutzer
einmalig manuell anmelden.

Interessant wäre noch zu wissen, wo Du Deine IP-Einträge pflegst; im AD
oder im TYPO3-System?

Pflegst Du sie im TYPO3-System, müßtest Du eu_ldap dahingehend
erweitern, dass von erfolgreich authentifizierten Benutzer gleich die IP
in den jeweiligen Datensatz mitgespeichert wird. Somit erschlägst Du
auch ein weiteres Problem: Wenn ein User die IP wechselt und nicht mehr
automatisch angemeldet werden kann, muss dieser sich einfach erneut
manuell anmelden.

Pflegst Du sie auf irgendeine Art und Weise auf dem AD, könntest Du
cc_iplogin_fe dahingehend erweitern, dass bei erfolgloser Suche der vom
Client übermittelten IP in Deinem TYPO3-System die IP auch auf dem AD
gesucht wird und dann der Import des so ermittelten AD-Datensatzes ins
TYPO3-System angestoßen wird.

Ich hoffe, Dir einen Denkanstoß gegeben zu haben. ;-)

Gruß,...
Marcus